邮件内容
尊敬的用户, 您好!重要信息已发现一个安全漏洞,使用适用于 Android、Windows、Linux 和 macOS 操作系统的 Unity 2017.1 及更高版本以及团结引擎构建的游戏和应用程序会受到影响。尚无证据表明该漏洞被利用或者对用户或客户产生了任何影响。我们已主动提供修复该漏洞的方案,所有开发者均可立即获取。该漏洞由安全研究员 RyotaK 负责报告,我们感谢他与我们的合作。关键要点尚无证据表明该漏洞被利用或者对用户或客户产生了任何影响。Unity 与平台合作伙伴进行了密切协作,这些合作伙伴已采取进一步措施来保障其平台安全并保护终端用户。使用适用于 Windows、Android、macOS 或 Linux 的 Unity 2017.1 或更高版本以及团结引擎发布的游戏或应用程序可能存在该漏洞。Unity 针对 Unity 2019.1 及之后每个主要版本和次要版本的 Unity 编辑器和团结引擎编辑器发布了更新。Unity 发布了二进制修补程序来修补自 2017.1 版本起构建的应用程序。您应该采取什么行动?如果您使用适用于 Windows、Android 或 macOS 的 Unity 2017.1 或更高版本或者团结引擎开发并发布了游戏或应用程序,需立即采取行动。为持续保障您用户的安全,请务必查阅以下指南。如果您的项目仍处于开发阶段:在构建和发布之前,下载相关 Unity/团结引擎 编辑器版本适用的补丁更新(可通过 Unity Hub、 Unity 下载存档、 Tuanjie Hub、 团结引擎下载存档获取)。这将确保您的发布版本获得充分保护。对于已经构建好的游戏和应用程序:我们强烈建议下载相关 Unity/团结引擎 编辑器版本适用的补丁更新,重新编译并重新发布您的应用程序。对于不愿重新构建项目的开发者,我们提供了一个工具,可以对自 2017.1 以来构建的 Android、Windows 和 macOS 应用程序进行修补。您可以在此处获取该工具。对于 Android 或 Windows 应用程序,我们正在实施一些额外的保护措施:如果您的 Android 应用程序通过 Google Play、其他第三方 Android 应用商店或直接下载的方式进行分发: 作为额外的防护层,Android 内置的恶意软件扫描和其他安全功能将有助于降低用户因该漏洞而面临的风险。 但即便如此,您仍旧迫切需要对受影响的应用程序进行补丁更新。(这些保护措施不适用于与 Google 无关的基于 AOSP 的平台。)如果您的应用程序面向 Windows: 对于 Windows 应用程序,Microsoft Defender 已更新,可以检测并阻止该漏洞。 Valve 将为 Steam 客户端提供额外的保护。如果您的应用程序采用了防篡改或反作弊解决方案:为了维持这些保护措施,您需要使用相关 Unity/团结引擎 编辑器版本适用的补丁更新来重新构建您的项目并重新部署。无法对现有应用程序进行修补,因为这会触发篡改保护。其他平台:对于 Horizon OS:Meta 设备已实施缓解措施,以防止在 Horizon OS 上运行的存在该漏洞的 Unity/团结引擎 应用程序被利用。对于 Linux:与 Android、Windows 和 macOS 相比,该漏洞在 Linux 平台上的风险要低得多。对于 Unity/团结引擎 支持的所有其他平台(包括 iOS),目前尚未发现该漏洞可被利用的证据。为了获得更周全的保护,我们始终建议您使用所用 Unity/团结引擎 版本的最新补丁进行更新。消费者指南:尚无证据表明该漏洞被利用或者对用户或客户产生了任何影响。建议您的用户将设备和应用程序更新到最新版本,启用自动更新,并保持杀毒软件处于最新版本。鼓励您的用户遵循安全方面的最佳实践,包括避免下载可疑文件以及定期更新所有软件。我们的承诺:Unity 致力于保障平台、客户及更广泛的社区的安全与完整性。透明沟通是这一承诺的核心,我们将根据需要,持续公布或更新相关信息。如需了解全面的技术细节,请查阅我们的 补丁工具与修复指南、 安全公告 以及 CVE-2025-59489。如有任何问题或需要帮助,请通过 unitychina-security@unity.cn联系我们。此外也请查阅常见问题解答。您对此事项的积极关注对于保障用户安全至关重要,并能确保您始终恪守最高安全标准。简述一下
Unity?是什么东西
一些常见的游戏引擎,《原x》、《王x荣耀》等蹬,Unity 的占有率非常非常非常非常非常非常高
根据外媒 VGI 发布的《2025 年大型游戏引擎报告》,在 Steam 平台上,2024 年发布的游戏中大约有 51% 是使用 Unity 制作的。从销量来看,Unity 在 2024 年占 Steam 平台游戏总销量的 26%。
在移动游戏开发领域,2024 年 Unity 的占比达 73.12%。而在全球虚拟现实游戏引擎市场,预计到 2025 年,Unity 将占据约 45% 的市场份额。
涉及漏洞CVE-2025-59489是Unity引擎存在的高危安全漏洞,影响2017.1及以上版本开发的游戏和应用程序,可能导致恶意代码执行
漏洞性质:高危远程代码执行漏洞,允许攻击者在用户设备上植入恶意代码并窃取信息。
影响范围:所有使用Unity 2017.1及以上版本开发的Windows、Android和macOS平台游戏及应用程序。
修复进度:Unity已发布补丁,但尚未发现实际利用案例。
对于普通人
我们应该怎么做
及时更新应用程序:将设备上基于 Unity 2017.1 及更高版本构建的游戏和应用程序更新到最新版本,因为开发者会通过更新来修复漏洞。许多应用商店都提供自动更新功能,建议启用此功能,以便及时获取应用的更新版本。
避免从不明来源下载应用:不要从非官方渠道下载应用程序,尤其是 Android 平台,避免下载可疑的 APK 文件,以减少下载到包含恶意代码的应用的风险。
保持杀毒软件更新:确保设备上的杀毒软件或安全防护软件处于最新版本,如 Windows 系统的 Microsoft Defender 已更新,可以检测并阻止该漏洞。
谨慎授予应用权限:检查手机等设备上应用的权限使用记录,避免随意授予应用不必要的权限,如悬浮窗、辅助功能等权限,防止恶意应用利用这些权限进行恶意操作。