Unity แก้ช่องโหว่ร้ายแรงในเครื่องมือที่ค้างคา 8 ปี

กระทบเกมและแอปบน Android, Windows, macOS และ Linux

0 ภายใน 1 นาที

Unity ประกาศจัดการช่องโหว่ความปลอดภัยร้ายแรง (CVE-2025-59489) ที่ซ่อนอยู่ในเอนจินตั้งแต่เวอร์ชัน 2017.1 หรือใหม่กว่า โดยช่องโหว่นี้เสี่ยงต่อการโจมตีแบบ unsafe file loading และ local file inclusion ซึ่งอาจนำไปสู่การรันโค้ดอันตราย การเปิดเผยข้อมูล หรือยกระดับสิทธิ์ในระดับของแอปพลิเคชันที่ได้รับผลกระทบ ช่องโหว่ถูกค้นพบเมื่อ 4 มิถุนายน 2025 โดยนักวิจัย RyotaK จาก GMO Flatt Security Inc. และ Unity ได้ปล่อยแพตช์แก้ไขเมื่อ 2 ตุลาคม 2025 โดยยังไม่มีรายงานการถูกนำไปใช้งานจริง

Larry Hryb หรือ Major Nelson จากทีม Unity ออกมาเตือนนักพัฒนาที่ใช้เวอร์ชันดังกล่าวในการสร้างเกมหรือแอปสำหรับ Windows, Android, macOS และ Linux ให้รีบอัปเดต Unity Editor เป็นเวอร์ชันล่าสุด จากนั้นคอมไพล์และอัปโหลดใหม่ หรือใช้ Unity Binary Patch tool เพื่อแทนที่ไลบรารีรันไทม์โดยไม่ต้องสร้างใหม่ทั้งหมด สำหรับเวอร์ชันเก่าที่เลิกสนับสนุนอย่าง 2017.1 ถึง 2019.1 Unity ก็ขยายแพตช์ให้ครอบคลุมแล้ว เพื่อป้องกันความเสี่ยงที่อาจเกิดขึ้น

แพลตฟอร์มพันธมิตรของ Unity ได้เคลื่อนไหวอย่างรวดเร็วเพื่อปกป้องผู้ใช้ โดย Valve อัปเดต Steam เวอร์ชันล่าสุดเพื่อรวมแพตช์แก้ช่องโหว่ Microsoft อัปเดต Defender บน Windows เพื่อตรวจจับและบล็อกการโจมตี ขณะที่ Google มีระบบสแกนมัลแวร์ใน Android ที่ช่วยป้องกันโดยอัตโนมัติ ส่วน Meta ก็มีมาตรการเฉพาะของตัวเอง ทำให้ผู้เล่นและผู้ใช้ปลอดภัยมากขึ้นแม้เกมยังไม่ได้รับอัปเดตจากนักพัฒนา

A security vulnerability affecting our games that use Unity has recently been identified.

As a precaution and to keep you safe, we have temporarily removed the following titles and products from digital storefronts while we implement the necessary updates to address the issue:…
— Obsidian (@Obsidian) October 3, 2025

อย่างไรก็ตาม ช่องโหว่นี้ไม่กระทบแพลตฟอร์มอื่น ๆ เช่น iOS, visionOS, tvOS, Xbox, Nintendo Switch, PlayStation, UWP, Quest หรือ WebGL เนื่องจากลักษณะการทำงานที่แตกต่างกัน Unity ยังย้ำว่าความเสี่ยงจำกัดอยู่ที่การเข้าถึงเครื่องแบบ local เท่านั้น ไม่ใช่การโจมตีระยะไกล แต่เพื่อความมั่นใจ นักพัฒนาควรตรวจสอบและอัปเดตทันที โดยเฉพาะเกมยอดนิยมที่ใช้ Unity กว่า 70% ของเกมมือถือชั้นนำ

ผลกระทบต่ออุตสาหกรรมเกมชัดเจนทันที โดย Obsidian Entertainment ผู้พัฒนาเกมอย่าง Grounded, Avowed และ Pillars of Eternity ได้ถอดเกมที่ใช้ Unity ออกจาก Steam ชั่วคราวเพื่อแก้ไข ก่อนนำกลับมาขายใหม่ ในขณะที่สตูดิโออื่น ๆ อย่าง No Rest for the Wicked ก็ประกาศอัปเดตแล้ว โดยยืนยันว่าข้อมูลเซฟเกมยังปลอดภัย ทำให้เกิดกระแสอัปเดตจำนวนมากบน Steam ในช่วงสุดสัปดาห์ที่ผ่านมา

การค้นพบช่องโหว่ครั้งนี้ตอกย้ำถึงความสำคัญของการตรวจสอบความปลอดภัยในซอฟต์แวร์เก่า แม้ Unity จะไม่มีหลักฐานการถูกโจมตี แต่ก็แสดงให้เห็นว่าความเสี่ยงที่ซ่อนมานาน 8 ปีอาจกระทบวงกว้าง

ที่มา