Mulți dezvoltatori și jucători ar trebui să fie vigilenți: vulnerabilitatea CVE-2025-59489 din Unity permite executarea de cod pe Android și escaladarea privilegiilor pe Windows, iar efectele se extind asupra multor jocuri populare și aplicații construite cu acest motor.
Unity, motorul utilizat pe scară largă pentru jocuri și aplicații 3D în timp real, a fost de-a lungul timpului o bază pentru numeroase sectoare: de la titluri mobile care rulează pe milioane de telefoane, la jocuri indie pentru PC și console, precum și aplicații comerciale. Din păcate, o problemă identificată de cercetătorul RyotaK de la GMO Flatt Security arată că modul în care Unity încarcă anumite biblioteci poate fi abuzat. Defectul afectează componenta Runtime și permite încărcarea nesigură de fișiere și includerea locală de fișiere, putând conduce la execuție de cod arbitrar și divulgare de informații accesibile aplicației vulnerabile.
Studiul a demonstrat în mod concret că, pe Android, modul în care Unity tratează Android Intents poate permite unei aplicații malițioase instalate pe același dispozitiv să determine încărcarea și executarea unei biblioteci native controlate de atacator. Practic, o aplicație rău-intenționată ar putea folosi un joc vulnerabil pentru a rula cod cu aceleași drepturi ca jocul, nu este un scenariu hollywoodian, dar este suficient de grav pentru a genera îngrijorare. Deși descoperirea a pornit de la Android, cauza principală este modul în care Unity procesează argumentul de linie de comandă -xrsdk-pre-init-library fără o validare corespunzătoare, ceea ce înseamnă că și pe Windows, macOS și Linux există căi prin care un potențial atacator poate livra argumente nesigure sau modifica căile de căutare a bibliotecilor.
Impactul este larg deoarece multe jocuri, inclusiv titluri cunoscute, folosesc Unity. Microsoft a emis un buletin în care recomandă dezinstalarea jocurilor vulnerabile până la apariția versiunilor remediate. Printre titlurile menționate se numără Hearthstone, The Elder Scrolls: Blades, Fallout Shelter, DOOM (2019), Wasteland 3 și Forza Customs. Valve a intervenit printr-un update al clientului Steam care blochează lansarea anumitor scheme URI personalizate, astfel încât distribuția prin platformă să nu poată fi exploatată ca vector de atac. De asemenea, Valve sugerează editorilor să recompileze jocurile cu o versiune sigură de Unity sau să înlocuiască manual fișierul UnityPlayer.dll cu o versiune patch-uită în build-urile existente.
Unity recomandă dezvoltatorilor să actualizeze editorul la cea mai recentă ramură de versiune și apoi să recompileze și să redeploieze aplicațiile. Compania a publicat remedieri care au fost aplicate și unor versiuni neoficial suportate începând cu 2019.1 și ulterior; însă versiunile mai vechi, care nu mai sunt suportate oficial, nu vor primi patch. Unity a precizat că, la data buletinului din 2 octombrie, nu fusese observată o exploatare activă a vulnerabilității.
Din punct de vedere tehnic, exploatarea este posibilă prin diverse puncte de intrare pe diferite sisteme: pe Android, prin Intents; pe desktop, prin argumente de linie de comandă sau modificări ale căilor de căutare ale bibliotecilor. Codul rulat se execută cu privilegiile aplicației vulnerabile, iar divulgarea de informații se limitează la datele la care aplicația are acces. Ca măsuri de remediere, există două opțiuni practice: actualizarea Unity Editor și reconstruirea aplicației sau înlocuirea binarului runtime Unity cu o versiune patch-uită.
Problema aduce în discuție două aspecte mai generale: dependența masivă a industriei jocurilor de motoare precum Unity și dificultatea gestionării securității retroactive pentru titluri deja distribuite. Pentru dezvoltatori, soluția tehnică este clară, actualizează și recompilează, dar în practică, reproiectarea și redistribuirea jocurilor vechi poate fi costisitoare și logistic dificilă, în special pentru studiourile mici. Pentru utilizatori, recomandările Microsoft și Valve sunt esențiale: evitați versiunile vulnerabile până la remedieri sau aplicați actualizările oferite de publisheri. În plus, editorii trebuie să decidă dacă vor continua să suporte versiuni mai vechi sau vor forța migrarea la versiunile actualizate ale motorului.
Unity a oferit remedieri și a comunicat pașii necesari, iar platformele care distribuie jocuri au implementat măsuri temporare pentru a diminua riscul. Această situație evidențiază cât de interconectate sunt ecosistemele software moderne: un bug într-un runtime folosit de mii de aplicații produce efecte în lanț care afectează dezvoltatori, platforme și utilizatori finali. Următorii pași depind de viteza cu care publisherii aplică patch-urile și de capacitatea jucătorilor de a instala actualizări sau de a evita titlurile afectate până la remediere.
CVE-2025-59489 este clasificată ca vulnerabilitate care afectează Unity Runtime și prezintă riscuri concrete pentru titluri precum Hearthstone, Fallout Shelter și DOOM (2019). Actualizarea editorului Unity și recompilerile sau înlocuirea UnityPlayer.dll sunt măsurile recomandate. Voi ce credeți: cât de mult v-ar afecta, ca jucători, dacă un joc popular ar fi temporar retras sau ar primi o actualizare urgentă din motive de securitate?
Fii primul care comentează