🛡 概要
Unityゲームエンジンにおけるコード実行の脆弱性CVE-2025-59489が報告され、Androidでのコード実行およびWindowsでの特権昇格が可能となっています。この脆弱性は、2017.1以降に開発されたすべてのUnity製ゲームに影響を及ぼします。ValveとMicrosoftは、ユーザーに対してこの脆弱性の存在を警告し、影響を受けるタイトルの使用を中止するよう呼びかけています。Unityは、開発者に最新のエディタバージョンへの更新を推奨しています。
🔍 技術詳細
この脆弱性は、UnityのRuntimeコンポーネントに関連しており、不正なファイルの読み込みやローカルファイルのインクルードを許可します。これにより、コード実行や情報漏洩が発生する可能性があります。GMO Flatt Securityの研究者RyotaKが発見したこの問題は、Androidだけでなく、Windows、macOS、Linuxでも同様の根本原因が存在します。特に、-xrsdk-pre-init-libraryコマンドライン引数の不適切な取り扱いが問題です。この脆弱性を利用することで、悪意のあるアプリがターゲットゲームの特権で任意のコードを実行できる可能性があります。
⚠ 影響
この脆弱性により、Hearthstone、The Elder Scrolls: Blades、Fallout Shelter、DOOM (2019)、Wasteland 3、Forza Customsなどの人気ゲームが影響を受ける可能性があります。Unityは、悪意のあるアプリが同じデバイス上で実行されている場合、ユーザーのデバイス上で機密情報にアクセスされるリスクがあると警告しています。現在のところ、この脆弱性の悪用は確認されていませんが、ユーザーは慎重になるべきです。
🛠 対策
Unityは、脆弱性の修正を含むパッチを提供しています。開発者は、Unityエディタを最新バージョンに更新し、アプリケーションを再構築および再展開することが推奨されています。また、Unityのランタイムバイナリを修正されたバージョンに置き換えることも重要です。サポートが終了したバージョンに対しても、2019.1以降のバージョンにはパッチが提供されていますが、古いバージョンには適用されません。ユーザーは、脆弱なゲームをアンインストールし、修正されたバージョンが利用可能になるまで待つことが推奨されています。
