“Unity เจอช่องโหว่ร้ายแรง CVE-2025-59489 — เกมมือถือหลายล้านแอปเสี่ยงถูกโจมตีผ่านไฟล์ .so”
นักวิจัยด้านความปลอดภัยจาก GMO Flatt Security ชื่อ RyotaK ได้ค้นพบช่องโหว่ร้ายแรงใน Unity Runtime ซึ่งถูกระบุเป็น CVE-2025-59489 โดยมีคะแนนความรุนแรง CVSS สูงถึง 8.4 ช่องโหว่นี้เปิดโอกาสให้ผู้โจมตีสามารถรันโค้ดในเครื่องได้ (Local Code Execution) ผ่านการแทรกไฟล์ .so โดยไม่ต้องใช้สิทธิ์ระดับสูง
ช่องโหว่นี้เกิดจากการจัดการ intent ใน UnityPlayerActivity บน Android ซึ่งเป็น entry point หลักของแอป Unity โดย Unity จะเพิ่ม handler สำหรับ “unity extra” เพื่อใช้ในการดีบักผ่าน ADB แต่กลับเปิดช่องให้แอปอื่นส่ง intent พร้อมพารามิเตอร์ที่เป็นอันตราย เช่น -xrsdk-pre-init-library เพื่อบังคับให้โหลดไฟล์ .so ที่ผู้โจมตีเตรียมไว้
RyotaK สาธิตการโจมตีโดยใช้แอป Android ที่มีสิทธิ์ต่ำ ส่ง intent ไปยังแอป Unity พร้อมพารามิเตอร์ที่ชี้ไปยังไฟล์ .so ที่ฝังอยู่ใน APK หรือในโฟลเดอร์ /data/local/tmp/ ซึ่งทำให้แอป Unity โหลดและรันโค้ดอันตรายภายใต้สิทธิ์ของตัวเอง ส่งผลให้ผู้โจมตีสามารถเข้าถึงข้อมูลสำคัญ เช่น GPS, กล้อง, หรือข้อมูลผู้ใช้ในเกม
ในบางกรณี ช่องโหว่นี้สามารถถูกโจมตีจากระยะไกลผ่านเบราว์เซอร์ Android หากแอป Unity เปิดให้เรียก UnityPlayerActivity ด้วย intent URL ที่มีพารามิเตอร์อันตราย อย่างไรก็ตาม Android SELinux ยังช่วยป้องกันการโหลดไฟล์จากโฟลเดอร์ดาวน์โหลดได้บางส่วน
ช่องโหว่นี้ส่งผลกระทบต่อทุกแพลตฟอร์มที่ใช้ Unity ได้แก่ Android, Windows, macOS และ Linux โดยเฉพาะแอปที่สร้างจาก Unity Editor เวอร์ชันตั้งแต่ 2017.1 เป็นต้นมา Unity ได้ออกแพตช์แก้ไขแล้วในหลายเวอร์ชัน เช่น 2022.3.67f2, 2021.3.56f2 และ 2019.4.41f1 พร้อมเครื่องมือ Binary Patch สำหรับโปรเจกต์เก่าที่ไม่สามารถ rebuild ได้ง่าย
Microsoft และ Steam ได้ออกคำเตือนแก่ผู้ใช้และนักพัฒนา โดยแนะนำให้ถอนการติดตั้งเกมที่ยังไม่ได้อัปเดต และให้ผู้พัฒนารีบ rebuild เกมด้วย Unity เวอร์ชันที่ปลอดภัยทันที
ข้อมูลสำคัญจากข่าว
ช่องโหว่ CVE-2025-59489 เกิดจากการจัดการ intent ใน UnityPlayerActivity บน Android
ผู้โจมตีสามารถส่งพารามิเตอร์ -xrsdk-pre-init-library เพื่อโหลดไฟล์ .so อันตราย
แอปที่สร้างจาก Unity ตั้งแต่เวอร์ชัน 2017.1 เสี่ยงต่อการถูกโจมตี
RyotaK สาธิตการโจมตีผ่านแอป Android ที่มีสิทธิ์ต่ำ
ช่องโหว่สามารถถูกใช้เพื่อเข้าถึงข้อมูล GPS, กล้อง, และข้อมูลผู้ใช้
Unity ได้ออกแพตช์ในเวอร์ชัน 2022.3.67f2, 2021.3.56f2, 2019.4.41f1 และอื่น ๆ
มีเครื่องมือ Binary Patch สำหรับโปรเจกต์เก่าที่ไม่สามารถ rebuild ได้
Microsoft และ Steam แนะนำให้ถอนการติดตั้งเกมที่ยังไม่ได้อัปเดต
Unity ระบุว่าไม่มีหลักฐานการโจมตีในโลกจริง ณ วันที่ประกาศ
ข้อมูลเสริมจากภายนอก
Unity เป็นเอนจินเกมที่ใช้สร้างกว่า 70% ของเกมมือถือยอดนิยม เช่น Pokémon GO, Among Us
Android Intent เป็นกลไกที่ใช้สื่อสารระหว่างแอป ซึ่งหากจัดการไม่ดีอาจเปิดช่องโหว่
SELinux บน Android ช่วยป้องกันการโหลดไฟล์จากโฟลเดอร์ดาวน์โหลด
บน Windows ช่องโหว่นี้สามารถถูกกระตุ้นผ่าน custom URI scheme
การโหลดไฟล์ .so โดยไม่มีการตรวจสอบเป็นพฤติกรรมที่เสี่ยงต่อการโจมตี
https://securityonline.info/unity-flaw-cve-2025-59489-allows-local-code-execution-in-millions-of-games/
นักวิจัยด้านความปลอดภัยจาก GMO Flatt Security ชื่อ RyotaK ได้ค้นพบช่องโหว่ร้ายแรงใน Unity Runtime ซึ่งถูกระบุเป็น CVE-2025-59489 โดยมีคะแนนความรุนแรง CVSS สูงถึง 8.4 ช่องโหว่นี้เปิดโอกาสให้ผู้โจมตีสามารถรันโค้ดในเครื่องได้ (Local Code Execution) ผ่านการแทรกไฟล์ .so โดยไม่ต้องใช้สิทธิ์ระดับสูง
ช่องโหว่นี้เกิดจากการจัดการ intent ใน UnityPlayerActivity บน Android ซึ่งเป็น entry point หลักของแอป Unity โดย Unity จะเพิ่ม handler สำหรับ “unity extra” เพื่อใช้ในการดีบักผ่าน ADB แต่กลับเปิดช่องให้แอปอื่นส่ง intent พร้อมพารามิเตอร์ที่เป็นอันตราย เช่น -xrsdk-pre-init-library เพื่อบังคับให้โหลดไฟล์ .so ที่ผู้โจมตีเตรียมไว้
RyotaK สาธิตการโจมตีโดยใช้แอป Android ที่มีสิทธิ์ต่ำ ส่ง intent ไปยังแอป Unity พร้อมพารามิเตอร์ที่ชี้ไปยังไฟล์ .so ที่ฝังอยู่ใน APK หรือในโฟลเดอร์ /data/local/tmp/ ซึ่งทำให้แอป Unity โหลดและรันโค้ดอันตรายภายใต้สิทธิ์ของตัวเอง ส่งผลให้ผู้โจมตีสามารถเข้าถึงข้อมูลสำคัญ เช่น GPS, กล้อง, หรือข้อมูลผู้ใช้ในเกม
ในบางกรณี ช่องโหว่นี้สามารถถูกโจมตีจากระยะไกลผ่านเบราว์เซอร์ Android หากแอป Unity เปิดให้เรียก UnityPlayerActivity ด้วย intent URL ที่มีพารามิเตอร์อันตราย อย่างไรก็ตาม Android SELinux ยังช่วยป้องกันการโหลดไฟล์จากโฟลเดอร์ดาวน์โหลดได้บางส่วน
ช่องโหว่นี้ส่งผลกระทบต่อทุกแพลตฟอร์มที่ใช้ Unity ได้แก่ Android, Windows, macOS และ Linux โดยเฉพาะแอปที่สร้างจาก Unity Editor เวอร์ชันตั้งแต่ 2017.1 เป็นต้นมา Unity ได้ออกแพตช์แก้ไขแล้วในหลายเวอร์ชัน เช่น 2022.3.67f2, 2021.3.56f2 และ 2019.4.41f1 พร้อมเครื่องมือ Binary Patch สำหรับโปรเจกต์เก่าที่ไม่สามารถ rebuild ได้ง่าย
Microsoft และ Steam ได้ออกคำเตือนแก่ผู้ใช้และนักพัฒนา โดยแนะนำให้ถอนการติดตั้งเกมที่ยังไม่ได้อัปเดต และให้ผู้พัฒนารีบ rebuild เกมด้วย Unity เวอร์ชันที่ปลอดภัยทันที
ข้อมูลสำคัญจากข่าว
ช่องโหว่ CVE-2025-59489 เกิดจากการจัดการ intent ใน UnityPlayerActivity บน Android
ผู้โจมตีสามารถส่งพารามิเตอร์ -xrsdk-pre-init-library เพื่อโหลดไฟล์ .so อันตราย
แอปที่สร้างจาก Unity ตั้งแต่เวอร์ชัน 2017.1 เสี่ยงต่อการถูกโจมตี
RyotaK สาธิตการโจมตีผ่านแอป Android ที่มีสิทธิ์ต่ำ
ช่องโหว่สามารถถูกใช้เพื่อเข้าถึงข้อมูล GPS, กล้อง, และข้อมูลผู้ใช้
Unity ได้ออกแพตช์ในเวอร์ชัน 2022.3.67f2, 2021.3.56f2, 2019.4.41f1 และอื่น ๆ
มีเครื่องมือ Binary Patch สำหรับโปรเจกต์เก่าที่ไม่สามารถ rebuild ได้
Microsoft และ Steam แนะนำให้ถอนการติดตั้งเกมที่ยังไม่ได้อัปเดต
Unity ระบุว่าไม่มีหลักฐานการโจมตีในโลกจริง ณ วันที่ประกาศ
ข้อมูลเสริมจากภายนอก
Unity เป็นเอนจินเกมที่ใช้สร้างกว่า 70% ของเกมมือถือยอดนิยม เช่น Pokémon GO, Among Us
Android Intent เป็นกลไกที่ใช้สื่อสารระหว่างแอป ซึ่งหากจัดการไม่ดีอาจเปิดช่องโหว่
SELinux บน Android ช่วยป้องกันการโหลดไฟล์จากโฟลเดอร์ดาวน์โหลด
บน Windows ช่องโหว่นี้สามารถถูกกระตุ้นผ่าน custom URI scheme
การโหลดไฟล์ .so โดยไม่มีการตรวจสอบเป็นพฤติกรรมที่เสี่ยงต่อการโจมตี
https://securityonline.info/unity-flaw-cve-2025-59489-allows-local-code-execution-in-millions-of-games/
🎮 “Unity เจอช่องโหว่ร้ายแรง CVE-2025-59489 — เกมมือถือหลายล้านแอปเสี่ยงถูกโจมตีผ่านไฟล์ .so”
นักวิจัยด้านความปลอดภัยจาก GMO Flatt Security ชื่อ RyotaK ได้ค้นพบช่องโหว่ร้ายแรงใน Unity Runtime ซึ่งถูกระบุเป็น CVE-2025-59489 โดยมีคะแนนความรุนแรง CVSS สูงถึง 8.4 ช่องโหว่นี้เปิดโอกาสให้ผู้โจมตีสามารถรันโค้ดในเครื่องได้ (Local Code Execution) ผ่านการแทรกไฟล์ .so โดยไม่ต้องใช้สิทธิ์ระดับสูง
ช่องโหว่นี้เกิดจากการจัดการ intent ใน UnityPlayerActivity บน Android ซึ่งเป็น entry point หลักของแอป Unity โดย Unity จะเพิ่ม handler สำหรับ “unity extra” เพื่อใช้ในการดีบักผ่าน ADB แต่กลับเปิดช่องให้แอปอื่นส่ง intent พร้อมพารามิเตอร์ที่เป็นอันตราย เช่น -xrsdk-pre-init-library เพื่อบังคับให้โหลดไฟล์ .so ที่ผู้โจมตีเตรียมไว้
RyotaK สาธิตการโจมตีโดยใช้แอป Android ที่มีสิทธิ์ต่ำ ส่ง intent ไปยังแอป Unity พร้อมพารามิเตอร์ที่ชี้ไปยังไฟล์ .so ที่ฝังอยู่ใน APK หรือในโฟลเดอร์ /data/local/tmp/ ซึ่งทำให้แอป Unity โหลดและรันโค้ดอันตรายภายใต้สิทธิ์ของตัวเอง ส่งผลให้ผู้โจมตีสามารถเข้าถึงข้อมูลสำคัญ เช่น GPS, กล้อง, หรือข้อมูลผู้ใช้ในเกม
ในบางกรณี ช่องโหว่นี้สามารถถูกโจมตีจากระยะไกลผ่านเบราว์เซอร์ Android หากแอป Unity เปิดให้เรียก UnityPlayerActivity ด้วย intent URL ที่มีพารามิเตอร์อันตราย อย่างไรก็ตาม Android SELinux ยังช่วยป้องกันการโหลดไฟล์จากโฟลเดอร์ดาวน์โหลดได้บางส่วน
ช่องโหว่นี้ส่งผลกระทบต่อทุกแพลตฟอร์มที่ใช้ Unity ได้แก่ Android, Windows, macOS และ Linux โดยเฉพาะแอปที่สร้างจาก Unity Editor เวอร์ชันตั้งแต่ 2017.1 เป็นต้นมา Unity ได้ออกแพตช์แก้ไขแล้วในหลายเวอร์ชัน เช่น 2022.3.67f2, 2021.3.56f2 และ 2019.4.41f1 พร้อมเครื่องมือ Binary Patch สำหรับโปรเจกต์เก่าที่ไม่สามารถ rebuild ได้ง่าย
Microsoft และ Steam ได้ออกคำเตือนแก่ผู้ใช้และนักพัฒนา โดยแนะนำให้ถอนการติดตั้งเกมที่ยังไม่ได้อัปเดต และให้ผู้พัฒนารีบ rebuild เกมด้วย Unity เวอร์ชันที่ปลอดภัยทันที
✅ ข้อมูลสำคัญจากข่าว
➡️ ช่องโหว่ CVE-2025-59489 เกิดจากการจัดการ intent ใน UnityPlayerActivity บน Android
➡️ ผู้โจมตีสามารถส่งพารามิเตอร์ -xrsdk-pre-init-library เพื่อโหลดไฟล์ .so อันตราย
➡️ แอปที่สร้างจาก Unity ตั้งแต่เวอร์ชัน 2017.1 เสี่ยงต่อการถูกโจมตี
➡️ RyotaK สาธิตการโจมตีผ่านแอป Android ที่มีสิทธิ์ต่ำ
➡️ ช่องโหว่สามารถถูกใช้เพื่อเข้าถึงข้อมูล GPS, กล้อง, และข้อมูลผู้ใช้
➡️ Unity ได้ออกแพตช์ในเวอร์ชัน 2022.3.67f2, 2021.3.56f2, 2019.4.41f1 และอื่น ๆ
➡️ มีเครื่องมือ Binary Patch สำหรับโปรเจกต์เก่าที่ไม่สามารถ rebuild ได้
➡️ Microsoft และ Steam แนะนำให้ถอนการติดตั้งเกมที่ยังไม่ได้อัปเดต
➡️ Unity ระบุว่าไม่มีหลักฐานการโจมตีในโลกจริง ณ วันที่ประกาศ
✅ ข้อมูลเสริมจากภายนอก
➡️ Unity เป็นเอนจินเกมที่ใช้สร้างกว่า 70% ของเกมมือถือยอดนิยม เช่น Pokémon GO, Among Us
➡️ Android Intent เป็นกลไกที่ใช้สื่อสารระหว่างแอป ซึ่งหากจัดการไม่ดีอาจเปิดช่องโหว่
➡️ SELinux บน Android ช่วยป้องกันการโหลดไฟล์จากโฟลเดอร์ดาวน์โหลด
➡️ บน Windows ช่องโหว่นี้สามารถถูกกระตุ้นผ่าน custom URI scheme
➡️ การโหลดไฟล์ .so โดยไม่มีการตรวจสอบเป็นพฤติกรรมที่เสี่ยงต่อการโจมตี
https://securityonline.info/unity-flaw-cve-2025-59489-allows-local-code-execution-in-millions-of-games/
0 ความคิดเห็น
0 การแบ่งปัน
40 มุมมอง
0 รีวิว
English