Unity ゲームエンジンにコード実行の脆弱性が存在し、この脆弱性を悪用されると、Android ではコード実行、Windows では権限昇格を実行される可能性があります。
Unityは、Windows、macOS、Android、iOS、コンソール、Web向けのタイトルを開発するためのレンダリング、物理、アニメーション、スクリプトツールを開発者に提供するクロスプラットフォームのゲームエンジンおよび開発プラットフォームです。
多数のモバイルゲームがUnityで開発されているほか、インディーや中堅のPC/コンソール向けタイトルもUnityで開発されている。このプラットフォームは、ゲーム以外の業界でもリアルタイム3Dアプリケーションに使用されている。
バルブとマイクロソフトがユーザーに警告
このリスクを受け、Steamは新しいクライアントアップデートをリリースし、カスタムURIスキームの起動をブロックすることで、配信プラットフォームを通じて悪用されることを防ぐ措置を講じた。
同時にValveは、パブリッシャーに対し、安全なUnityバージョンを使用してゲームを再構築するか、パッチを適用したバージョンの’UnityPlayer.dll’ファイルを既存のビルドに挿入することを推奨している。
マイクロソフト社もこの問題について警告を発し、CVE-2025-59489に対応した新しいバージョンが利用可能になるまで、脆弱性のあるゲームをアンインストールするよう推奨している。
同社によると、ハースストーン、The Elder Scrolls、Blades、Fallout Shelter、CVE-2025-59489に対応した新しいバージョンが利用可能になるまで、ユーザーにアンインストールを勧めている:Blades』、『Fallout Shelter』、『DOOM(2019)』、『Wasteland 3』、『Forza Customs』などだ。
Unityは開発者に対し、エディタを最新のバージョンブランチにアップデートし、ゲームやアプリケーションを再コンパイルして再デプロイすることを推奨している。
一部未対応バージョンへのパッチ適用拡大
この脆弱性はCVE-2025-59489として追跡されており、Runtime コンポーネントに影響します。安全でないファイルの読み込みやローカルファイルのインクルードが可能で、コードの実行や情報漏洩につながる可能性がある。
GMO Flatt Securityのリサーチャー「RyotaK」は、5月に開催されたMeta Bug Bounty Researcher Conferenceでこの脆弱性を発見し、2017.1以降のエンジンのバージョンでビルドされたすべてのゲームに影響があるとしている。
「この脆弱性により、unityでビルドされたアプリケーションを実行しているエンドユーザーデバイス上でローカルコードの実行や機密情報へのアクセスが可能になる可能性がある」とUnityはセキュリティ速報で警告している。
“コードの実行は脆弱なアプリケーションの特権レベルに限定され、情報の開示は脆弱なアプリケーションで利用可能な情報に限定される。”
RyotaK氏は技術的な記述の中で、UnityのAndroid Intentsの取り扱いにより、脆弱なゲームと同じデバイスにインストールされた悪意のあるアプリが、攻撃者が提供するネイティブライブラリをロードし実行できることを示しました。
これにより、攻撃者はターゲットとなるゲームの権限で任意のコードを実行できるようになります。
Ryotak氏はこの問題をAndroid上で発見しましたが、根本的な原因であるUnityの-xrsdk-pre-init-libraryコマンドライン引数の適切な検証やサニタイズなしの処理は、Windows、macOS、およびLinuxオペレーティング・プラットフォームにも存在します。
これらのシステムには、信頼できない引数を与えたり、対象となるアプリケーションのライブラリ検索パスを変更したりする可能性のある異なる入力パスが存在するため、条件が満たされた場合に悪用が可能となります。
Unity社によると、10月2日の発表時点ではアクティブな悪用は確認されていない。
修正プログラムは提供されており、「Unity Editorを最新バージョンにアップデートし、アプリケーションを再構築して再デプロイする」「Unityのランタイムバイナリをパッチを適用したバージョンに置き換える」などの対処方法がある。
Unityは、2019.1以降のサポート終了バージョンに対する修正プログラムをリリースしている。サポートが終了した古いバージョンにはパッチが適用されません。
.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; object-fit: cover; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px;
width: 100%;
}
.ia_button {
width: 100%;
margin: 0px auto;
}
}
今年のセキュリティ検証イベントPicus BASサミット
Breach and Attack Simulation Summitに参加して、セキュリティ検証の未来を体験してください。一流の専門家から話を聞き、AIを搭載したBASが侵害と攻撃のシミュレーションをどのように変革するかをご覧ください。
セキュリティ戦略の未来を形作るイベントをお見逃しなく。
Comments