CVE-2025-59489:Unity运行时中的任意代码执行

最新推荐文章于 2025-12-20 10:47:52 发布
原创 最新推荐文章于 2025-12-20 10:47:52 发布 · 1.6k 阅读 · 19 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#unity #游戏引擎

CVE-2025-59489:Unity运行时中的任意代码执行

漏洞是怎么被发现的?

这次的问题不是Unity 自己发现的,而是由日本资安团队flatt.tech找出的。
他们在确认漏洞后立即私下通报Unity,双方采用「负责任揭露」方式同步公开。 漏洞的根本原因在于Unity
的Runtime(执行环境)设计缺陷。 游戏启动时,Unity 会处理外部传入的参数(本来是给开发者用的), 但系统并没有做好安全检查。
这让攻击者有机可乘,能在启动时注入恶意指令、 甚至让游戏下载并执行外部程式。

Unity 运行时的 Intent 处理流程中存在一个漏洞,该流程针对 Unity 游戏和应用程序。
此漏洞允许恶意 Intent 控制传递给 Unity 应用程序的命令行参数,从而使攻击者能够.so根据平台加载任意共享库(文件)并执行恶意代码。

在默认配置下,此漏洞允许安装在同一设备上的恶意应用程序劫持授予 Android Unity 应用程序的权限。
在特定情况下,该漏洞可被远程利用来执行任意代码,但我并未调查第三方 Unity 应用程序,以找到具备此漏洞所需功能的应用程序。

Unity 已解决此问题,并从 2019.1 开始更新所有受影响的 Unity 版本。强烈建议开发者下载更新, 重新编译游戏和应用程序,然后重新发布,以确保项目安全。

Unity 的 Intent Handler

为了支持在 Android 设备上调试 Unity 应用程序,Unity 会自动将包含 extra 的 Intent 的处理程序添加unity到 UnityPlayerActivity。此 Activity 用作应用程序的默认入口点,并可导出到其他应用程序。

https://docs.unity3d.com/6000.0/Documentation/Manual/android-custom-activity-command-line.html

adb shell am start -n "com.Company.MyGame/com.unity3d.player.UnityPlayerActivity" -e unity "-systemallocator"

如上所述,unity额外内容被解析为 Unity 的命令行参数。

虽然 Android 的权限模型通过向应用程序授予权限来管理功能访问,但它并不限制可以向应用程序发送哪些 Intent。
这意味着任何应用程序都可以unity向 Unity 应用程序发送额外信息,从而允许攻击者控制传递给该应用程序的命令行参数。

xrsdk-pre-init-library 命令行参数
将 Unity Runtime 二进制文件加载到 Ghidra 后,我发现了以下命令行参数:

initLibPath = FUN_00272540(uVar5, "xrsdk-pre-init-library");

该命令行参数的值稍后会传递给dlopen,从而导致在中指定的路径xrsdk-pre-init-library被加载为本机库。

lVar2 = dlopen(initLibPath, 2);

这种行为允许攻击者在 Unity 应用程序的上下文中执行任意代码,通过使用 -xrsdk-pre-init-library 参数启动它们来利用其权限。

攻击场景

本地攻击
安装在同一设备上的任何恶意应用程序都可以通过以下方式利用此漏洞:

提取本机库,并在 AndroidManifest.xml 中android:extractNativeLibs设置属性true
-xrsdk-pre-init-library使用指向恶意库的参数启动 Unity 应用程序
Unity 应用程序随后会使用自己的权限加载并执行恶意代码
通过浏览器进行远程利用
在特定情况下,尽管条件允许,此漏洞仍可能被远程利用。
例如,如果应用程序导出UnityPlayerActivity或UnityPlayerGameActivity带有android.intent.category.BROWSABLE类别(允许浏览器启动),则网站可以使用 Intent URL 指定传递给活动的额外信息:

intent:#Intent;package=com.example.unitygame;scheme=custom-scheme;S.unity=-xrsdk-pre-init-library%20/data/local/tmp/malicious.so;end;

乍一看,恶意网站似乎可以通过强制浏览器下载.so文件并通过xrsdk-pre-init-library参数加载它们来利用此漏洞。

远程利用的要求

要远程利用此漏洞,必须满足以下条件:

应用程序导出UnityPlayerActivity或UnityPlayerGameActivity与android.intent.category.BROWSABLE类别
应用程序将包含攻击者控制内容的文件写入其私有存储(例如,通过缓存)
即使没有这些条件,任何 Unity 应用程序仍然可以进行本地开发。

Unity 平台保护:立即采取行动保护您的游戏和应用

修补方案

修补工具

Unity编辑器下载

https://discussions.unity.com/t/cve-2025-59489-patcher-tool/1688032
在这里插入图片描述

杂项:
https://www.4gamers.com.tw/saged/detail/qmrkdx93xelmd0
https://flatt.tech/research/posts/arbitrary-code-execution-in-unity-runtime/
发现此漏洞的人:
https://x.com/ryotkak

小阿哥
关注
CVE-2025-26466和CVE-2025-26465,这两个漏洞的解决方式除了升级Openssh9.9p2版本外,是否有其他方式解决?
**My Coding Family**
07-14 2426
🏆本文收录于 《全栈Bug调优(实战版)》 专栏,该专栏专注于分享我在真实项目开发中遇到的各类疑难Bug及其深层成因,并系统提供高效、可复现的解决思路和实操方案。无论你是刚入行的新手开发者,还是拥有多年项目经验的资深工程师,本专栏都将为你提供一条系统化、高质量的问题排查与优化路径,助力你加速成长,攻克技术壁垒,迈向技术价值最大化与职业发展的更高峰🚀!
Unity被曝严重安全漏洞,一场游戏行业的安全大考
FairGuard手游加固(企业官方博客)
10-14 1311
近日,Unity引擎被安全研究员 RyotaK 发现存在严重安全漏洞(CVE编号: CVE-2025-59489)。该漏洞源于Unity 执行环境在处理 Android 平台上的 Intent 存在安全缺陷。
关于 Unity 引擎漏洞 CVE-2025-59489 的修复
weixin_74045050的博客
10-30 506
Unity 项目升级至官方已修复版本(详见使用目标平台的修复工具 ,可以将 Unity 运行库替换为该库的修补版本。
小米紧急回应“汽车突然自己开走”;Unity披露重大漏洞:影响2017年后所有游戏;ChatGPT或正测试私信功能 | 极客头条
优快云资讯
10-06 1451
前三日累计达18500台;据山东威海一车主发视频反映,他的小米汽车突然“自己开走了”,“没碰手机,全程有监控”。10月5日消息,Unity Technologies最近披露了一个严重的安全漏洞,敦促开发者尽快应用补丁,该漏洞(CVE-2025-59489)在CVSS中的评分为7.4分(满分10分),被列为高危级别。10 月 5 日消息,据腾讯混元官方,国际大模型竞技场 LMArena 最新文生图榜单显示,混元图像 3.0 在全球 26 个大模型中,高居第一位,超过 nano-banana 等顶尖闭源模型,
Google Play合规指南:您的应用所使用的原生库不支持 16 KB 内存页面大小.快速解决设备和网络滥用漏洞Scripting: Addressed CVE-2025-59489.2022.3.
专注Unity游戏开发
09-25 672
Google Play要求应用原生库支持16KB内存页大小以适应Android 15设备升级。开发者需检查APK/AAB中的.so文件,使用提供的Python脚本检测不支持16KB对齐的库。Unity用户需升级到2022.3.56f1+或2021.3.48f1+版本,同更新Firebase等插件。解决方案包括升级Unity版本至2022.3.62f2+、Java 11、Gradle 7.6.5等开发环境。建议安装Unity勾选iOS模块以避免兼容性问题。
保护您的 Unity 游戏免遭黑客攻击:最佳实践和安全提示
小云同志你好的博客
12-17 603
作为游戏开发者,确保 Unity 游戏的安全对于保障我们的辛勤工作和保护玩家体验至关重要。虽然没有任何安全措施是完全万无一失的。我们无法完全 100% 让我们的游戏防黑客攻击,但我们可以让作弊者很难在游戏中作弊。我们可以实施一些最佳实践和安全提示,使我们的游戏更能抵御黑客攻击。在本文中,我们将探索增强 Unity 游戏安全性并保护其免受潜在漏洞影响的有效方法。
一种注入到unity游戏进程获取FPS的方法
crasheye的博客
11-22 3929
最近在实现inject+hook获取目标游戏进程的相关信息,包括系统资源占用及FPS等信息,就了解了下目前获取目标进程的FPS的方法。
Android 真机DeepProfiler
酷酷宝哥的博客
10-29 532
Android 真机DeepProfiler 1.检查设备 adb kill-server #关闭 adb server adb start-server #开发adb server adb devices #查看连接成功的设备 2.启动命令 安装好以后不要手动打开游戏,要通过命令行启动我们的游戏。具体命令是: adb shell am start -n com.xxx.xxx...
unity如何检测内存泄漏_Unity游戏引擎游戏开发遇到内存泄漏问题怎么办?
weixin_39979167的博客
12-29 1994
内存泄露是开发人员在项目研发过程中最常见也最不愿遇到的问题。就目前来看,大家对于判断项目是否存在内存泄露仍然存在一些误区:误区一我的项目进出场景前后内存回落不一致,比如进入场景后,内存增加40MB,出来后下降30MB,仍有10MB内存没有返回给系统,即说明内存存在泄露情况。误区二我的项目在进出场景前后,Unity Profiler中内存回落正常,但Android的PSS数值并没有完全回落(出场景后...
Unity BUG记录(更新)
HJH's Blog
08-01 937
1.SocketException: 以一种访问权限不允许的方式做了一个访问套接字的尝试 Unity出错显示:SocketException: 以一种访问权限不允许的方式做了一个访问套接字的尝试,这是因为unity访问权限导致的,以管理员权限打开Unity就可以解决了 2.VS2017无法识别Monobehaviour,导致没有任何提示 (1).这是unity默认编辑器没有设定成VS的缘故,...
跨平台游戏引擎 Axmol-2.11.0 发布
一线灵的博客
12-20 852
Axmol 2.11.0 LTS版本于2025年12月19日发布,主要包含错误修复和功能改进。修复了iOS音频、WebSocket、Xcode兼容性等问题,并优化了性能。新增了Node::getHashOfName()等功能,更新了cmake、jdk等SDK工具及多个第三方库。发布文件可通过GitHub、百度网盘和SourceForge下载。感谢所有贡献者和赞助者对项目的支持。
基于Python_Flask框架与MySQL_57数据库构建的轻量级企业级后台管理系统_集成用户权限管理_角色分配_数据可视化仪表盘_日志记录_文件上传下载_多模块CRUD操作_.zip
12-20
基于Python_Flask框架与MySQL_57数据库构建的轻量级企业级后台管理系统_集成用户权限管理_角色分配_数据可视化仪表盘_日志记录_文件上传下载_多模块CRUD操作_.zip
一个使用Python编程语言实现数据挖掘领域核心经典算法的综合性开源代码库与学习资源项目_该项目系统性地涵盖了从数据预处理到模型评估的完整数据挖掘流程包含决策树算法如ID3_C4.zip
12-20
一个使用Python编程语言实现数据挖掘领域核心经典算法的综合性开源代码库与学习资源项目_该项目系统性地涵盖了从数据预处理到模型评估的完整数据挖掘流程包含决策树算法如ID3_C4.zip
基于Vue.js与JavaScript的古籍文字检测识别系统源码及部署指南
12-20
**项目概述:** 本资源提供了一套采用Vue.js与JavaScript技术栈构建的古籍文献文字检测与识别系统的完整源代码及相关项目文档。当前系统版本为`v4.0+`,基于`vue-cli`脚手架工具开发。 **环境配置与运行指引:** 1. **获取项目文件**后,进入项目主目录。 2. 执行依赖安装命令: ```bash npm install ``` 若网络环境导致安装缓慢,可通过指定镜像源加速: ```bash npm install --registry=https://registry.npm.taobao.org ``` 3. 启动本地开发服务器: ```bash npm run dev ``` 启动后,可在浏览器中查看运行效果。 **构建与部署:** - 生成测试环境产物: ```bash npm run build:stage ``` - 生成生产环境优化版本: ```bash npm run build:prod ``` **辅助操作命令:** - 预览构建后效果: ```bash npm run preview ``` - 结合资源分析报告预览: ```bash npm run preview -- --report ``` - 代码质量检查与自动修复: ```bash npm run lint npm run lint -- --fix ``` **适用说明:** 本系统代码经过完整功能验证,运行稳定可靠。适用于计算机科学、人工智能、电子信息工程等相关专业的高校师生、研究人员及开发人员,可用于学术研究、课程实践、毕业设计或项目原型开发。使用者可在现有基础上进行功能扩展或定制修改,以满足特定应用场景需求。 资源来源于网络分享,仅用于学习交流使用,请勿用于商业,如有侵权请联系我删除!
EI复现基于阶梯碳交易的含P2G-CCS耦合和燃气掺氢的虚拟电厂优化调度(Matlab代码实现)
12-20
【EI复现】基于阶梯碳交易的含P2G-CCS耦合和燃气掺氢的虚拟电厂优化调度(Matlab代码实现)内容概要:本文介绍了基于阶梯碳交易机制的虚拟电厂优化调度模型,重点研究了包含P2G-CCS(电转气-碳捕集与封存)耦合技术和燃气掺氢技术的综合能源系统在Matlab平台上的仿真与代码实现。该模型充分考虑碳排放约束与阶梯式碳交易成本,通过优化虚拟电厂内部多种能源设备的协同运行,提升能源利用效率并降低碳排放。文中详细阐述了系统架构、数学建模、目标函数构建(涵盖经济性与环保性)、约束条件处理及求解方法,并依托YALMIP工具包调用求解器进行实例验证,实现了科研级复现。此外,文档附带网盘资源链接,提供完整代码与相关资料支持进一步学习与拓展。; 适合人群:具备一定电力系统、优化理论及Matlab编程基础的研究生、科研人员或从事综合能源系统、低碳调度方向的工程技术人员;熟悉YALMIP和常用优化算法者更佳。; 使用场景及目标:①学习和复现EI级别关于虚拟电厂低碳优化调度的学术论文;②掌握P2G-CCS、燃气掺氢等新型低碳技术在电力系统中的建模与应用;③理解阶梯碳交易机制对调度决策的影响;④实践基于Matlab/YALMIP的混合整数线性规划或非线性规划问题建模与求解流程。; 阅读建议:建议结合提供的网盘资源,先通读文档理解整体思路,再逐步调试代码,重点关注模型构建与代码实现之间的映射关系;可尝试修改参数、结构或引入新的约束条件以深化理解并拓展应用场景。
【Ćuk转换器】Ćuk转换器将输入的直流电压转换为输出的直流电压,同输出电压的极性相反(Simulink仿真实现)
12-20
【Ćuk转换器】Ćuk转换器将输入的直流电压转换为输出的直流电压,同输出电压的极性相反(Simulink仿真实现)
(26页PPT)智慧水务解决方案数字孪生.pptx
最新发布
12-20
(26页PPT)智慧水务解决方案数字孪生.pptx
芯片查询大全V2.3:芯片替换查询
12-20
已经博主授权,源码转载自 https://pan.quark.cn/s/362cb3eb6645 CodeX 少女前线芯片计算器CodeX 使用说明 转载请注明出处,禁止用于商业。 release (latest by date) All Releases 目前功能: 从本地代理/网络代理获取芯片数据 配置各小队参数 为各小队配置不同的芯片组合方案(例如用不用5格) 按格数筛选方案 在方案列表中直接对各属性排序 Top n 计算并显示当前各小队的满强化属性 保存为各小队选择的配置 在计算中排除已经选择的配置中的芯片 依赖 zlib gzip-hpp openssl 芯片图片素材来自GFTool 芯片解法数据来自GFChipToolX 打赏 微信扫码支持一下~ 微信打赏
深入解析CVE-2021-21972漏洞:任意文件上传漏洞细节
CVE-2021-21972是一个在信息安全领域中重要的漏洞编号,它代表了一个特定的安全漏洞。CVE(Common Vulnerabilities and Exposures)是一个国际性的漏洞标识体系,旨在为计算机安全漏洞提供一个通用的识别方法。而CVE...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值