Unity îndeamnă dezvoltatorii să ia „măsuri imediate” după ce a dezvăluit o vulnerabilitate majoră de securitate care afectează jocurile create folosind versiuni ale popularului său instrument de dezvoltare din 2017. Deși „nu există dovezi ale exploatării vulnerabilității și nici nu a existat vreun impact asupra utilizatorilor sau clienților”, Unity are deja remedii disponibile pentru dezvoltatori, potrivit unei postări a lui Larry Hryb, alias „Major Nelson”.
Urmărește cele mai noi producții video TechRider.ro
- articolul continuă mai jos -
O vulnerabilitate de execuție a codului în gaming engine-ul Unity ar putea fi exploatată pentru a realiza execuția codului pe Android și escaladarea privilegiilor pe Windows, potrivit BleepingComputer.
Unity este un motor de jocuri și o platformă de dezvoltare multiplatformă care oferă instrumente de redare, fizică, animație și scripting pentru dezvoltatori, pentru a crea titluri pentru Windows, macOS, Android, iOS, console și web.
Un număr mare de jocuri mobile sunt create cu Unity, precum și titluri indie și mid-tier pentru PC/console. Platforma este utilizată și în industrii non-gaming pentru aplicații 3D în timp real.
Mai precis, dezvoltatorii trebuie să ia măsuri dacă „ați dezvoltat și lansat un joc sau o aplicație utilizând Unity 2017.1 sau o versiune ulterioară pentru Windows, Android sau macOS”, spune Hryb. „Partenerii de platformă” ai Unity au luat, de asemenea, „măsuri suplimentare pentru a-și securiza platformele și a proteja utilizatorii finali”.
Valve și Microsoft avertizează utilizatorii
Ca răspuns la acest risc, Steam a luat măsuri prin lansarea unei noi actualizări a clientului care blochează lansarea schemelor URI personalizate pentru a preveni exploatarea prin platforma sa de distribuție.
În același timp, Valve recomandă editorilor să-și reconstruiască jocurile folosind o versiune sigură a Unity sau să conecteze o versiune patch-uită a fișierului „UnityPlayer.dll” direct în versiunile existente.
Microsoft a publicat, de asemenea, un buletin pentru a avertiza cu privire la această problemă, recomandând utilizatorilor să dezinstaleze jocurile vulnerabile până când vor fi disponibile noi versiuni care să remedieze CVE-2025-59489.
Compania a declarat că titlurile de jocuri populare sunt vulnerabile, inclusiv Hearthstone, The Elder Scrolls: Blades, Fallout Shelter, DOOM (2019), Wasteland 3 și Forza Customs.
Unity recomandă dezvoltatorilor să actualizeze editorul la cea mai recentă versiune, apoi să recompileze și să redeployeze jocurile sau aplicațiile lor.
Numeroși dezvoltatori au luat măsuri ca răspuns la această dezvăluire. Obsidian a eliminat unele dintre jocurile și produsele sale din magazinele digitale, inclusiv Grounded 2 Founders Edition, Avowed Premium Edition, Pillars of Eternity: Hero Edition, Pillars of Eternity II: Deadfire și Pentiment, până când va putea „implementa actualizările necesare pentru a remedia problema”. Marvel Snap, No Rest for the Wicked, Ingress și Fate/Grand Order au primit, de asemenea, actualizări. Iar Atlus spune că Persona 5: The Phantom X va primi o actualizare.
Patch-ul extins la unele versiuni neacceptate
Vulnerabilitatea este urmărită ca CVE-2025-59489 și afectează componenta Runtime. Aceasta permite încărcarea nesigură a fișierelor și includerea fișierelor locale și poate duce la executarea codului și divulgarea informațiilor.
Cercetătorul „RyotaK” de la GMO Flatt Security a descoperit vulnerabilitatea în luna mai, la Meta Bug Bounty Researcher Conference, și spune că aceasta afectează toate jocurile construite pe versiuni ale motorului începând cu 2017.1.
Unity i-a acordat un scor de severitate ridicat și un scor CVSS de 8,4. Având în vedere că 10 este cel mai sever scor, această vulnerabilitate este destul de semnificativă. Unity clarifică faptul că „nu există dovezi ale exploatării vulnerabilității și nici nu a existat vreun impact asupra utilizatorilor sau clienților”.
„[Vulnerabilitatea] ar putea permite executarea codului local și accesul la informații confidențiale pe dispozitivele utilizatorilor finali care rulează aplicații construite cu Unity”, avertizează Unity în buletinul său de securitate.
„Executarea codului ar fi limitată la nivelul de privilegii al aplicației vulnerabile, iar divulgarea informațiilor ar fi limitată la informațiile disponibile pentru aplicația vulnerabilă.”
Într-un articol tehnic, RyotaK a arătat că modul în care Unity gestionează Android Intents permite oricărei aplicații rău intenționate instalate pe același dispozitiv ca jocul vulnerabil să încarce și să execute o bibliotecă nativă furnizată de atacator.
Acest lucru permite atacatorului să execute cod arbitrar cu privilegiile jocului țintă.
Unity nu a lansat o versiune Linux
Jocurile sau aplicațiile lansate utilizând versiunea 2017.1 sau o versiune ulterioară pot conține această vulnerabilitate, iar creatorii sunt încurajați să descarce actualizarea patch-ului Unity prin Unity Hub sau Unity Download Archive.
Dacă creatorii de jocuri preferă să nu reconstruiască proiectele, Unity a publicat un instrument care aplică patch-uri aplicațiilor pe Android, Windows și macOS. Cu toate acestea, acest instrument nu funcționează pe versiuni cu măsuri de protecție împotriva falsificării sau anti-trișare și nici pe Linux.
Linux are în continuare un nivel ridicat de gravitate în tabelul platformelor afectate de pe site-ul web Unity, dar Unity clarifică: „Datorită profilului de risc mai scăzut, Unity nu a lansat o versiune Linux a Unity Application Patcher. În special în medii cu politici stricte de control al accesului, se poate reconstrui aplicația Linux cu un editor Unity patch-uit pentru a elimina căile de cod vulnerabile.”
Unity clarifică, de asemenea, că „este puțin probabil ca remedierea să afecteze majoritatea jocurilor”, ceea ce sună mai puțin liniștitor decât s-ar fi dorit.
Dezvoltatorii care utilizează Unity sunt încurajați să informeze utilizatorii să își mențină dispozitivele și aplicațiile la zi, deoarece cele care funcționează cu versiuni vechi ar putea fi vulnerabile. Este o bună practică să vă asigurați că software-ul este actualizat, dar acest lucru va fi deosebit de important pentru software-ul Unity în viitor.
