اطلاعیه امنیتی یونیتی: آسیب‌پذیری بحرانی در نسخه‌های قدیمی موتور بازی‌سازی Unity

مهدی-یدی
0 دیدگاه
ثبت جمعه 9 آبان 1404
بروزرسانی یکشنبه 11 آبان 1404

تیم امنیتی Unity اخیراً آسیب‌پذیری مهمی را در برخی نسخه‌های ویرایشگر (Editor) این موتور شناسایی و برطرف کرده است. این حفره امنیتی می‌تواند در شرایط خاص، باعث اجرای کد مخرب یا دسترسی غیرمجاز به اطلاعات محلی سیستم شود.
گرچه تا این لحظه هیچ گزارشی از سوء‌استفاده یا نفوذ واقعی از این آسیب‌پذیری منتشر نشده، اما Unity اعلام کرده است که به‌روزرسانی‌های امنیتی لازم منتشر شده و برای تمامی توسعه‌دهندگان در دسترس است.

جزئیات آسیب‌پذیری

شناسه (CVE): CVE-2025-59489
تاریخ کشف: ۴ ژوئن ۲۰۲۵
کشف‌شده توسط: RyotaK از شرکت امنیتی GMO Flatt Security Inc.
تاریخ انتشار وصله امنیتی: ۲ اکتبر ۲۰۲۵
نوع آسیب‌پذیری: CWE-426 – مسیر جست‌وجوی غیرقابل‌اعتماد (Untrusted Search Path)
شدت: بالا (High)
امتیاز CVSS: 8.4
بردار حمله:
CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

پتانسیل سوء‌استفاده

این نقص می‌تواند به مهاجم محلی اجازه دهد تا در برنامه‌های ساخته‌شده با نسخه‌های آسیب‌پذیر Unity:

کد دلخواه را اجرا کند،
به داده‌های محرمانه دسترسی یابد،
و در برخی موارد، سطح دسترسی خود را افزایش دهد.

البته اجرای کد محدود به سطح دسترسی خود برنامه آسیب‌پذیر خواهد بود، و خطر فقط در همان محدوده وجود دارد.

نسخه‌های آسیب‌پذیر و اصلاح‌شده Unity

برنامه‌هایی که با نسخه‌های زیر از Unity ساخته شده‌اند، در برابر این آسیب‌پذیری آسیب‌پذیر هستند، مگر اینکه با نسخه‌های "Patched" مجدداً ساخته شوند.

نسخه‌های در حال پشتیبانی

نسخه آسیب‌پذیر	نسخه اصلاح‌شده
6000.3	6000.3.0b4
6000.2	6000.2.6f2
6000.0 LTS	6000.0.58f2
2022.3 xLTS	2022.3.67f2
2021.3 xLTS	2021.3.56f2

نسخه‌های خارج از پشتیبانی (قدیمی)

Unity حتی برای نسخه‌های خارج از پشتیبانی نیز وصله‌هایی ارائه کرده است (از Unity 2019.1 به بعد).
به‌عنوان نمونه:

نسخه آسیب‌پذیر	نسخه اصلاح‌شده
2023.2	2023.2.22f1
2023.1	2023.1.22f1
2022.3 LTS	2022.3.62f2
2021.3 LTS	2021.3.45f2
2020.3	2020.3.49f1
2019.4 LTS	2019.4.41f1
نسخه‌های 2018 و قدیمی‌تر	پشتیبانی نمی‌شوند

سیستم‌عامل‌های تحت‌تأثیر

سیستم‌عامل	نوع آسیب‌پذیری	شدت
Android	اجرای کد / افزایش سطح دسترسی	بالا
Windows	افزایش سطح دسترسی	بالا
Linux (دسکتاپ)	افزایش سطح دسترسی	بالا
Linux (تعبیه‌شده)	افزایش سطح دسترسی	بالا
macOS	افزایش سطح دسترسی	بالا

نکته: در سیستم‌عامل Windows، وجود یک URI Handler سفارشی برای برنامه ممکن است احتمال بهره‌برداری را افزایش دهد. Unity توصیه می‌کند توسعه‌دهندگانی که از این قابلیت استفاده کرده‌اند با بخش امنیتی شرکت تماس بگیرند (security@unity3d.com).

روند کشف

این آسیب‌پذیری توسط یکی از پژوهشگران امنیتی خارج از شرکت شناسایی و به‌صورت مسئولانه گزارش شد. Unity نیز پس از بررسی، در سریع‌ترین زمان ممکن آن را رفع کرده است.

مراحل رفع مشکل

1. بازسازی برنامه

آخرین نسخه Unity Editor را نصب کنید، سپس برنامه خود را دوباره Build و Deploy کنید تا از کتابخانه‌های اصلاح‌شده استفاده شود.

2. استفاده از ابزار Binary Patch

اگر بازسازی کامل ممکن نیست، می‌توانید از ابزار رسمی Unity Binary Patch برای جایگزینی کتابخانه‌های آسیب‌پذیر با نسخه‌های اصلاح‌شده استفاده کنید.

نسخه‌های اصلاح‌شده

لیست مستقیم نسخه‌های دارای وصله امنیتی در وب‌سایت رسمی Unity موجود است. توسعه‌دهندگان توصیه می‌شود در اسرع وقت پروژه‌های خود را با این نسخه‌ها به‌روزرسانی و مجدداً منتشر کنند.

جمع‌بندی

اگرچه این آسیب‌پذیری هنوز به‌صورت عمومی مورد سوء‌استفاده قرار نگرفته است، اما به‌دلیل شدت بالا و گستردگی نسخه‌های آسیب‌پذیر، توصیه می‌شود تمامی توسعه‌دهندگان Unity هرچه سریع‌تر پروژه‌های خود را با نسخه‌های جدید بازسازی کنند.
امنیت کاربران و بازی‌ها مستقیماً به به‌روزرسانی به‌موقع موتور بازی‌سازی وابسته است.