遊戲開發平臺Unity通報高風險漏洞，可能被濫用執行任意程式碼

Unity通報一項高風險漏洞CVE-2025-59489，影響自Unity 2017.1起建置的Android、Windows、macOS與Linux應用。該漏洞源於命令列參數可被濫用以載入與執行外部程式碼，攻擊者要是取得本機存取權，可能在應用中執行任意程式碼或提升權限。官方表示目前未觀察到實際攻擊案例，並已釋出修補版本與可直接更新既有應用的工具。

Unity提供兩種修補方式，其一為使用已修補版本的Unity Editor重新開啟專案、重建並測試後再發行，其二則是在無法即時重建或需進行臨時修補時，利用Unity Application Patcher直接修補現有的Android、Windows或macOS建置檔。官方提醒，修補工具可能與部分防竄改或反外掛機制產生相容性問題，開發者在部署前應完整驗證。

CVE-2025-59489的影響範圍廣泛，主要平臺業者也迅速採取防護措施。Valve在Steamworks發布公告提醒Unity開發者盡速更新並重新測試遊戲，同時釋出新版Steam用戶端針對透過自訂URI或捷徑傳入的可疑命令列參數加上封鎖與防護，降低這類參數被帶入Unity應用啟動流程的風險，Unity也明列4個高風險參數，供開發者檢視與修補。

此外，維持瀏覽器與防毒軟體的即時防護功能、停用不必要的自訂協定處理程式（Protocol Handler），並定期檢查已安裝的Unity遊戲更新狀態，優先安裝包含UnityPlayer.dll修補版本的更新，可有效降低因惡意命令列參數引發的風險。

微軟則在MSRC安全更新指引（Security Update Guide）中收錄CVE-2025-59489，提醒使用者與玩家在修補版本尚未發布前，應暫時卸載受影響的應用或遊戲，以避免潛在風險。微軟同時更新了Microsoft Defender的威脅偵測模組，能辨識並攔截此類利用手法。企業與個人用戶應確保Defender簽名檔與系統版本維持最新，以獲得即時防護。

目前雖然未發現實際攻擊事件，但該漏洞已被多方正式追蹤。Unity、微軟與Valve的同步回應反映了軟體供應鏈對安全事件的高度敏感。對開發者來說須儘速套用修補、重建並測試應用，而對一般使用者而言，保持系統更新、注意應用來源並遵循平臺提示，則是現階段最實際的防護措施。