近日,360终端安全智能体监测到Unity引擎中存在一个高危安全漏洞CVE-2025-59489。该漏洞影响所有基于Unity 2017.1或更高版本构建的游戏,攻击者可借此对全平台Unity游戏发起代理攻击。通过构造特定参数或配置,攻击者能诱使游戏加载恶意模块,最终实现权限提升或远程代码执行,从而完全控制目标设备。
Unity作为一款跨平台的实时3D/2D 引擎与开发工具,因其易上手、扩展性强等特点,被广泛应用于游戏开发、交互式可视化、影视动画、建筑可视化与虚拟/增强现实(VR/AR)等领域 ,拥有从独立开发者到大型企业在内的庞大用户群。正因如此,该漏洞潜在影响范围极广,所有使用受影响版本Unity创建的项目均可能面临严重安全威胁。
同时,360终端安全智能体监测发现,根据官方分级,CVE-2025-59489 漏洞在Windows环境下被归类为权限提升漏洞,而在Android环境下则被视为代码执行漏洞。此外,官方指出,若Unity应用被注册为可供外部调用的程序,也同样面临代码执行的风险。
在Windows下,通过steam或者其它游戏平台中转的方式,该漏洞可能成为远程执行漏洞。下面是开发者关于该漏洞可被远程执行的描述:
You can launch Steam games through a web protocol steam://run/730/some parameters. Websites could execute this and launch a popular unity game with malicious parameters, that’s why Steam mitigates this and block those game launches now. Without this mitigation random websites could theoretically cause harm remotely.
通过steam://run/730/some parameters可以远程启动steam安装的游戏,进而实现远程利用执行。
为应对此漏洞带来的严重威胁,Steam平台已发布全平台更新,来阻断利用其协议传递恶意参数的可能。Windows下的修复方案包括:替换游戏目录中的“binengineUnityPlayer.dll”文件,或由开发者使用最新版Unity重新构建游戏。
以下为存在被利用风险的参数指令(部分仅限于boot.config使用):
针对此次曝出的Unity高危漏洞,360终端安全智能体依托云端安全大数据与实时防护体系,目前已率先具备完备的防御能力。政企用户无需操作即可获得全面保护,建议尽快完成全域部署,构筑终端安全防线。
作为国内唯一兼具数字安全和人工智能双重能力的企业,360自2023年起就专注于安全智能体的研发与应用,提出用AI重塑安全并推出国内首个实战应用的安全智能体。
在安全智能体赋能下,360全线安全产品稳步开展智能化迭代升级工作。其中,360终端安全智能体以AI为核心,强势领跑新一代终端安全管理与运营赛道。依托360二十余年来积累的海量威胁样本库,以及在终端安全领域深耕细作形成的1200余项技术点,融合自研大模型与智能体技术,对杀毒、主动防御、漏扫、无补丁免疫、EDR(终端威胁检测分析与响应)、桌管、准入、零信任、DLP(数据防泄漏)、安全桌面等40余项核心能力模块进行了全面MCP化升级。
如需咨询相关服务
请联系电话
400-0309-360
往期推荐
| |||
| |||
| |||
|
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...