요약
Unity 런타임의 인자 주입 취약점(CVE-2025-59489, CVSS 8.4)이 공개되었습니다.
Windows·Android·macOS·Linux 빌드가 영향권이며, Steam·Microsoft가 즉시 완화 조치를 배포했습니다.
개발사는 패치된 에디터로 리빌드 또는 패치 툴 적용이 권장됩니다.
본문
핵심 정리
1) 원인: 신뢰되지 않은 검색 경로(CWE-426)로 UnityPlayer가 의도치 않은 라이브러리 로딩 가능
2) 영향: 인증 우회가 아닌 실행 파라미터 악용 경로로 로컬 코드 실행·데이터 탈취 위험
3) 범위: 2017.1 이후 다수 버전 영향. 2025-10-02 이후 릴리스에 패치 포함
플레이어/운영자 조치(즉시)
1) 게임 실행은 Steam 클라이언트에서만—바로가기·커스텀 URI 직접 실행 금지
2) Windows Defender·Android 스캐너 최신 업데이트 적용
3) 의심 실행 기록 존재 시 계정·세션 토큰 교체
개발사/배급사 조치(필수)
1) 패치된 Unity 에디터로 리빌드 후 재배포 또는 제공된 Binary Patch 적용
2) EAC/안티치트·탬퍼 보호 빌드는 리빌드 우선. 패처 비호환 주의
3) Steamworks 가이드에 따라 위험 파라미터 차단 확인, 런처·업데이트 동시 배포
한줄평
“실행 경로가 문이다.” 오늘은 리빌드+플랫폼 완화가 생명선입니다.
출처
Unity 보안 권고·세부 테이블(패치/영향 버전)
Steamworks 공지: 위험 파라미터 차단·URI 실행 제한
Microsoft·Valve 대응 보도·기술 해설
TechRadar Pro·The Verge·PC Gamer 정리 기사
'소트프웨어' 카테고리의 다른 글
| GoAnywhere MFT ‘CVE-2025-10035’ 타임라인 공개 실공격 경보, 패치·탐지 포인트 총정리 (0) | 2025.10.11 |
|---|---|
| Gladinet RCE 제로데이 적극 악용 패치 전까지 노출 차단 필수 (0) | 2025.10.10 |
| Redis ‘RediShell’ RCE(CVE-2025-49844) 공개 8.2.2로 즉시 패치, Lua 스크립트 임시 차단 (0) | 2025.10.09 |
| Figma 연동용 MCP 서버 취약점(CVE-2025-53967) 공개 원격코드실행 가능, 즉시 패치 (0) | 2025.10.09 |
| GoAnywhere MFT ‘CVE-2025-10035’ 적극 악용 경보 서명 위조로 RCE 가능 (0) | 2025.10.07 |