运营Steam PC游戏平台的Valve公司于10月4日向使用Unity进行游戏开发的开发者发出警告,指出由Unity创建的应用程序存在可远程攻击用户设备的漏洞。该漏洞已被登记为CVE-2025-59489。
据Unity公司透露,CVE-2025-59489漏洞影响范围涵盖使用Unity 2017.1及以后版本构建的所有Android/Windows/macOS/Linux平台游戏与应用程序。该漏洞可使攻击者控制传递给Unity应用程序的命令行参数,并能够根据不同平台加载任意共享库(.so文件)以执行恶意代码。该公司表示,目前尚未在任何平台发现该漏洞被利用的迹象。除Valve和Unity公司外,漏洞发现者RyotaK也对此事发布了警示。
面对这一情况,Valve公司已向全体用户推送Steam客户端更新。完成更新后,即使Steam平台上的游戏或应用程序存在该漏洞,Steam客户端也能检测并阻止利用该漏洞的启动尝试。使用Steam的用户应及时更新客户端。此外,微软公司也公布了应对措施,表示正在推进游戏和应用程序的更新进程,在Windows系统中,只要保持软件最新状态并运行Microsoft Defender,多数情况下可确保安全。
同时,Unity公司向开发者公开了修复指南,其中详细说明了各平台受影响程度的差异,并提供了补丁工具的下载页面指引。使用Unity的开发者应尽快采取应对措施。
值得一提的是,CVE-2025-59489漏洞是由GMO Flatt Security株式会社的安全研究员RyotaK在Meta公司主办的Meta Bug Bounty Researcher Conference 2025大会上发现的。该研究员因报告了本次会议中影响最严重的漏洞荣获Most Impact Award奖项,同时他还累计发现了15个未知漏洞,在全体参会者中位列榜首。
需要说明的是,该大会实际上于2025年5月举办。这意味着Unity和Valve等公司是在完成充分应对准备后才公开相关信息的。
游戏玩家能安心享受游戏的环境,离不开那些在幕后日夜奋战以提升安全性的技术人员的支撑。下次更新Steam客户端时,或许我们可以一边注视着更新进度条,一边对这些守护者心存感激。
