- UnityはCVE-2025-59489という深刻な脆弱性を修正、これによりローカルでのコード実行やデータ漏洩が可能となる恐れがあった
- SteamとValveは保護機能を更新、パブリッシャーにはゲーム内のUnityPlayer.dllを再ビルドまたはパッチ適用するよう推奨
- Microsoftは、修正が適用されるまで脆弱なUnity製ゲームのアンインストールを推奨
Unityは、ローカルでのコード実行や情報漏洩につながる可能性のある深刻な脆弱性を修正し、ユーザーに対してできるだけ早くパッチを適用するよう呼びかけています。
Unityは2D、3D、VR/ARゲームやその他のインタラクティブな体験を作成するための人気のクロスプラットフォームゲームエンジンです。Among Us、Cuphead、原神など、多くの有名タイトルがこのエンジンで開発されています。
最近公開されたセキュリティアドバイザリで、UnityはCVE-2025-59489として追跡されている引数インジェクションの脆弱性を発見し修正したと発表しました。この脆弱性には8.4/10(高)の深刻度スコアが付与されています。
Unityエディターの更新
この脆弱性は「Unity製アプリケーションが動作するエンドユーザーのデバイス上で、ローカルでのコード実行や機密情報へのアクセスを許す可能性がある」とアドバイザリは警告しています。
「コード実行は脆弱なアプリケーションの権限レベルに限定され、情報漏洩も脆弱なアプリケーションがアクセス可能な情報に限定されます。」
現時点でこの脆弱性が実際に悪用された証拠はありませんが、同社はユーザーにできるだけ早く修正を適用するよう強く推奨しています。修正方法はUnityエディターを更新するか、ランタイムバイナリをクリーンなバージョンに置き換えることです。
他社もすでに対応を始めています。例えばSteamは、独自のURIスキーム起動をブロックするようクライアントを更新し、自社プラットフォーム経由での悪用を防いでいます。
Steamの開発元であるValveは、パブリッシャーに対し、Unityの新しいバージョンでゲームを再ビルドするか、少なくとも修正版の「UnityPlayer.dll」ファイルをビルドに適用するよう呼びかけています。
また、Microsoftはさらに一歩踏み込み、修正が適用されるまで脆弱なバージョンで作られたゲームをアンインストールするようユーザーに呼びかけています。Hearthstone、The Elder Scrolls: Blades、Fallout Shelter、DOOM(2019)、Wasteland 3、Forza Customsなどが該当する脆弱なゲームだとMicrosoftは付け加えています。
