セキュリティアップデートのアドバイザリー

サマリー

影響を受けるバージョンの Unity エディターを使用してビルドされたアプリケーションは、オペレーティングシステムによっては、安全でないファイルのロードやローカルファイルインクルージョン攻撃の影響を受けやすく、脆弱なアプリケーションの特権レベルでローカルコードの実行や情報漏洩が発生する可能性があります。この脆弱性が悪用された証拠はなく、ユーザーまたはお客様に対する影響も発生していません。Unity はこの脆弱性に対処する修正を提供しており、修正はすでにすべての開発者に対して利用可能になっています。

脆弱性の詳細

CVE ID:CVE-2025-59489

発見日: 2025 年 6 月 4 日

発見者: RyotaK of GMO Flatt Security Inc.

パッチ提供日: 2025 年 10 月 2 日

影響を受けるオペレーティングシステム: 影響を受けるオペレーティングシステムの表を参照

影響を受けるバージョン: Unity エディターのバージョン表を参照

パッチ適用済みバージョン: Unity エディターのバージョン表を参照

脆弱性の種類:CWE-426: 信頼されていない検索パス

深刻度: 重要

CVSS スコア:8.4

CVSS ベクトル文字列: CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

悪用される可能性

Unity でビルドされたアプリケーションを実行しているエンドユーザーのデバイス上で、ローカルコード実行や機密情報へのアクセスが可能になることが懸念されます。コードの実行は脆弱なアプリケーションの特権レベルに制限され、情報漏洩は脆弱なアプリケーションが利用可能な情報に制限されます。この脆弱性の悪用の証拠はなく、ユーザーや顧客への影響も今までありません。

Unity エディターのバージョン表

パッチ適用済みバージョンより前の、示されているバージョンの Unity エディターでビルドされたアプリケーションには、脆弱性があると考えられます。

現在サポート対象のバージョン

6000.3
影響を受けるバージョン
すべて
パッチ適用済みバージョン
6000.3.0b4
6000.2
影響を受けるバージョン
すべて
パッチ適用済みバージョン
6000.2.6f2
6000.0 LTS
影響を受けるバージョン
すべて
パッチ適用済みバージョン
6000.0.58f2
2022.3 xLTS
影響を受けるバージョン
すべて
パッチ適用済みバージョン
2022.3.67f2
2021.3 xLTS
影響を受けるバージョン
すべて
パッチ適用済みバージョン
2021.3.56f2

Unity エディターのサポート対象外バージョンへの修正を、Unity 2019.1 以降を含むように拡大しました。

サポート対象外のバージョン

6000.1
影響を受けるバージョン
すべて
パッチ適用済みバージョン
6000.1.17f1
2023.2
影響を受けるバージョン
すべて
パッチ適用済みバージョン
2023.2.22f1
2023.1
影響を受けるバージョン
すべて
パッチ適用済みバージョン
2023.1.22f1
2022.3 LTS
影響を受けるバージョン
すべて
パッチ適用済みバージョン
2022.3.62f2
2022.2
影響を受けるバージョン
すべて
パッチ適用済みバージョン
2022.2.23f1
2022.1
影響を受けるバージョン
すべて
パッチ適用済みバージョン
2022.1.25f1
2021.3 LTS
影響を受けるバージョン
すべて
パッチ適用済みバージョン
2021.3.45f2
2021.2
影響を受けるバージョン
すべて
パッチ適用済みバージョン
2021.2.20f1
2021.1
影響を受けるバージョン
すべて
パッチ適用済みバージョン
2021.1.29f1
2020.3
影響を受けるバージョン
すべて
パッチ適用済みバージョン
2020.3.49f1
2020.2
影響を受けるバージョン
すべて
パッチ適用済みバージョン
2020.2.8f1
2020.1
影響を受けるバージョン
すべて
パッチ適用済みバージョン
2020.1.18f1
2019.4 LTS
影響を受けるバージョン
すべて
パッチ適用済みバージョン
2019.4.41f1
2019.3
影響を受けるバージョン
すべて
パッチ適用済みバージョン
2019.3.17f1
2019.2
影響を受けるバージョン
すべて
パッチ適用済みバージョン
2019.2.23f1
2019.1
影響を受けるバージョン
すべて
パッチ適用済みバージョン
2019.1.15f1
2018.4
影響を受けるバージョン
すべて
パッチ適用済みバージョン
該当なし
2018.3
影響を受けるバージョン
すべて
パッチ適用済みバージョン
該当なし
2018.2
影響を受けるバージョン
すべて
パッチ適用済みバージョン
該当なし
2018.1
影響を受けるバージョン
すべて
パッチ適用済みバージョン
該当なし
2017.4
影響を受けるバージョン
すべて
パッチ適用済みバージョン
該当なし
2017.3
影響を受けるバージョン
2017.3.0b9+
パッチ適用済みバージョン
該当なし
2017.2
影響を受けるバージョン
2017.2.0p4+
パッチ適用済みバージョン
該当なし
2017.1
影響を受けるバージョン
2017.1.2p4+
パッチ適用済みバージョン
該当なし

影響を受けるプラットフォームの表

影響を受けるバージョンの Unity エディターでビルドされ、これらのプラットフォームでリリースされたアプリケーションには、この脆弱性による影響を受ける可能性があります。

注意: 一覧に記載されていないプラットフォームについては、この脆弱性が悪用可能であることを示唆する調査結果はありません。

Android
影響
コードの実行/特権の昇格
深刻度
重要
Windows
影響
特権の昇格
深刻度
重要
Linux (デスクトップ)
影響
特権の昇格
深刻度
重要
Linux (組み込み)
影響
特権の昇格
深刻度
重要
MacOS
影響
特権の昇格
深刻度
重要

Microsoft Windows システム上で、脆弱なアプリケーションやハンドラー名に対して登録されたカスタム URI ハンドラーが存在する場合、悪用のリスクが高まる可能性があります。カスタム URI スキームが存在し、対象システム上で呼び出すことが可能な場合、攻撃者がその URI を開かせることで、直接コマンドラインへアクセスを必要とせずに、脆弱なライブラリの読み込み動作を誘発する可能性があります。ただし、潜在的な悪用はターゲットとなるアプリケーションの権限およびそのプロセスがアクセス可能なデータやサービスに限定されます。Unity アプリケーション向けにカスタム URI ハンドラーを定期的に作成している組織は、直接 Unity(メール:security@unity3d.com)までご連絡ください。

発見

この脆弱性は、外部のセキュリティ研究者によって責任を持って報告されました。

修正手順

アプリケーションのリビルド

  • Unity エディターを最新バージョンにアップデートしてから、アプリケーションをリビルドして再展開します。

バイナリのパッチ処理

  • ターゲットプラットフォーム用の Unity バイナリパッチツールを使用して、Unity Runtime ライブラリをパッチ適用済みバージョンのライブラリに置き換えることができます。

Unity の修正済みバージョン

Unity の修正済みバージョン:Unity エディターの最初の修正済みバージョンへのダイレクトリンク (Unity Runtime も含む)

パッチ適用済みバージョン
6000.3.0b4
Unity Hub リンク
6000.2.6f2
Unity Hub リンク
6000.1.17f1
Unity Hub リンク
6000.0.58f2
Unity Hub リンク
2023.2.22f1
Unity Hub リンク
2023.1.22f1
Unity Hub リンク
2022.3.67f2
Unity Hub リンク
2022.3.62f2
Unity Hub リンク
2022.2.23f1
Unity Hub リンク
2022.1.25f1
Unity Hub リンク
2021.3.56f2
Unity Hub リンク
2021.3.45f2
Unity Hub リンク
2021.2.20f1
Unity Hub リンク
2021.1.29f1
Unity Hub リンク
2020.3.49f1
Unity Hub リンク
2020.2.8f1
Unity Hub リンク
2020.1.18f1
Unity Hub リンク
2019.4.41f1
Unity Hub リンク
2019.3.17f1
Unity Hub リンク
2019.2.23f1
Unity Hub リンク
2019.1.15f1
Unity Hub リンク

よくあるご質問

私のアプリケーションまたはゲームがリストにないプラットフォームまたはオペレーティングシステム用にリリースされましたが、どうすればよいですか?

+

どうやって脆弱性が見つかったのですか?

+

今後、脆弱性を Unity に報告するときの手続きを教えてください

+