Unity官方10月4日发布公告,确认在2017—2024年间发布的全部Unity Editor版本中存在一处高危代码执行漏洞,CVE编号与CVSS 7.4分评级同步公开。公告指出,当开发者使用受影响的Editor构建Windows或macOS游戏时,项目内嵌的特定Mono编译模块会在玩家启动阶段加载外部动态库,若攻击者诱导玩家打开被篡改的网络数据包或本地存档,即可在同一权限层级执行任意指令,存在读写本地文件、注入额外进程的理论风险。Unity方面表示,目前尚未收到真实攻击报告,也已向所有签约开发商推送补丁版本2021.3.42f1、2022.3.21f1、2023.2.11f1及2024.1.0b10,并建议各团队立即重新构建安装包并热更至线上渠道。
为降低终端威胁,平台方同步升级防御机制:微软Defender反病毒库已加入对应特征,可拦截利用向量生成的可疑动态库;Steam客户端将于48小时内下发验证补丁,禁止上传未采用新版符号签名的可执行文件;Epic Games Store、GOG、Itch.io也陆续向合作方发出强制重打包通知。业内大型工作室率先响应,Second Dinner证实《漫威Snap》移动端与PC端均已完成热更,Innersloth宣布《Among Us》全平台补丁已覆盖97%活跃用户,独立团队则普遍采用"增量补丁+强制更新"模式确保存量玩家。
考虑到修复周期差异,部分企业采取下架缓冲策略:黑曜石娱乐将《禁闭求生2》《宣誓》《Pentiment》《Grounded》四款作品临时从Xbox Store、Steam与Microsoft Store移除,待重新编译并通过第三方安全审计后再行上架,预计离线时间不超过五个工作日;发行商Private Division亦跟进撤下《Kerbal Space Program 2》1.4.3之前版本,避免玩家下载旧安装包。Unity技术支持团队已开放绿色通道,为需要加急审核的厂商提供48小时内符号重签、云端编译及回归测试服务。
Unity在公告最后强调,如果开发者暂时无法立即重打包,建议启用引擎自带的"代码签名验证"与"Assembly加载白名单"两项运行时保护,同时提醒玩家只通过官方商店或可信渠道更新游戏,避免使用来历不明的Mod或存档文件。安全团队将在30天后发布复盘报告,公开漏洞成因、修复细节及后续SDL流程改进方案。
