Unityに脆弱性、任意コード実行の恐れ Windows、Android、macOS、Linux向けゲームとアプリに影響、SteamやMicrosoftも対処
米Unity Technologiesがゲームエンジン「Unity」に重大な脆弱性(CVE-2025-59489)を確認したと発表した。「Unity 2017.1」以降のバージョンでビルドされたWindows、Android、macOS、Linux向けの全ゲームとアプリケーションに影響するといい、PCゲーム配信プラットフォーム「Steam」を手掛ける米Valveといった国内外のゲーム・アプリ関連事業者が対応に動いている。
米Unity Technologiesは10月2日(現地時間)までに、ゲームエンジン「Unity」に重大な脆弱性(CVE-2025-59489)を確認したと発表した。「Unity 2017.1」以降のバージョンでビルドされたWindows、Android、macOS、Linux向けの全ゲームとアプリケーションに影響するといい、PCゲーム配信プラットフォーム「Steam」を手掛ける米Valveといった国内外のゲーム・アプリ関連事業者が対応に動いている。
脆弱性はGMO Flatt Securityのリサーチャーが6月に発見した。影響度を示すCVSS(共通脆弱性評価システム)スコアは8.4で、深刻度は「High」(重要)。Unity Technologiesによれば「Unity アプリケーションで任意のコードをロードして実行することを可能にするコマンドライン引数に起因する。これにより、ローカルアクセス権を持つ悪意のある攻撃者が、アプリケーションのコンテキスト内で任意のコードを実行できる場合があり、データ漏えいや特権昇格につながる可能性がある」という。
脆弱性が悪用された形跡は2日時点でなく、ユーザーや顧客への影響も確認していないとしている。同社は対策として、パッチを適用した各バージョンのUnity開発環境や、ビルド済みアプリ用のパッチャーを提供しており、開発者に対しこれらによる対処を呼び掛けている。
すでに国内外のゲーム・アプリ関連事業者が対応に着手しており、例えば米Microsoftは3日、アプリストアで一部ゲームの配信を一時的に停止した。他にもValveが4日にユーザー向けのクライアントをアップデート。ユーザーがゲームを起動した際、リクエストに問題のあるコードが含まれる場合は、起動をブロックするようにしたという。あわせてUnityを活用するゲーム開発者向けにも対応を呼び掛けた。
スマートフォンゲーム「Fate/Grand Order」を提供するラセングルも、3日に同ゲームのAndroid版に修正パッチを適用。4日には米VRChatもVRプラットフォーム「VRChat」をアップデートした。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
Unity「ゲームインストールごとに課金」開発者反発 運営元「対象の顧客は1割未満」など釈明
「Unity」の新料金体系「Unity Runtime Fee」に、多くの開発者が反発。2024年1月以降、従来からの定額料金に加え、一定規模以上のゲームから、1インストールごとに料金を徴収するという。
批判が集まっていた「Runtime Fee」、Unityが撤回を発表 一方でProとEnterpriseプランは値上げ
米Unityが新しい料金体系としてゲーム開発者などに案内していた「Runtime Fee」を撤回する。これは定額ライセンス費用に加え、一定規模以上のゲームから1インストールごとに追加で料金を徴収するもので、発表直後から世界中の開発者が反発していた。
Unity、新料金の修正案 追加課金は「年100万ドル超え」のみ
開発者から強い反発を受けた「Unity Runtime Fee」の修正案が公表された。追加課金する対象を、年間収益が100万ドル超えのゲームに限定にするなど、開発者コミュニティーに大幅に譲歩した。
メタバースでパンデミック ソーシャルVRをハッキングする攻撃 ヘッドセットを乗っ取り、ユーザー間でも感染
チェコのBrno University of Technology、米Louisiana State University、米University of New Havenに所属する研究者らは、他人のVR HMDとコンピュータに侵入してソーシャルVRを介した攻撃が可能なことを実証した研究報告を発表した。