Steam и Microsoft предупреждают об уязвимости в Unity, которая подвергает геймеров риску атак

Уязвимость, позволяющая выполнить произвольный код, обнаружена в игровом движке Unity. Ее можно использовать для запуска вредоносного кода на устройствах Android и повышения привилегий в Windows.

Unity — это кроссплатформенный игровой движок и среда разработки, предоставляющая инструменты для рендеринга, физики, анимации и скриптинга. С его помощью создаются игры для Windows, macOS, Android, iOS, игровых консолей и веба.

На Unity построено множество мобильных игр, а также инди- и среднебюджетных игр для ПК и консолей. Помимо игровой индустрии, Unity активно используется в других сферах — например, для разработки интерактивных 3D-приложений в реальном времени.

Valve и Microsoft предупреждают пользователей

В ответ на выявленный риск компания Valve выпустила обновление клиента Steam, которое блокирует запуск пользовательских URI-схем, чтобы предотвратить возможную эксплуатацию уязвимости через платформу распространения игр.

Valve также рекомендовала разработчикам и издателям пересобрать свои игры с использованием безопасной версии Unity или заменить файл UnityPlayer.dll на исправленный вариант прямо в текущей сборке.

Microsoft со своей стороны опубликовала собственное предупреждение. Компания советует пользователям удалить уязвимые игры до выхода обновленных версий, устраняющих проблему CVE-2025-59489.

В число затронутых игр, по данным Microsoft, входят популярные проекты, такие как Hearthstone, The Elder Scrolls: Blades, Fallout Shelter, DOOM (2019), Wasteland 3 и Forza Customs.

Компания Unity рекомендует всем разработчикам обновить редактор до последней версии, пересобрать и заново развернуть свои игры или приложения.

Исправление будет выпущено для некоторых неподдерживаемых версий

Ошибка отслеживается под идентификатором CVE-2025-59489 и затрагивает Runtime-компонент движка. Она допускает небезопасную загрузку файлов и включение локальных файлов, что может привести к исполнению произвольного кода и утечке данных.

Исследователь компании GMO Flatt Security под псевдонимом RyotaK раскрыл уязвимость еще в мае на конференции Meta Bug Bounty Researcher Conference. По его словам, она присутствует во всех версиях Unity, начиная с 2017.1.

В бюллетене по безопасности сообщается:

Данная уязвимость может позволить локальное выполнение кода и получение доступа к конфиденциальной информации на устройствах конечных пользователей, где запущены приложения, созданные на Unity.

Исполнение кода будет ограничено уровнем привилегий уязвимого приложения, а раскрытие данных — объемом информации, к которой это приложение имеет доступ.

В своем отчете RyotaK показал, что механизм обработки Android Intents в Unity позволяет любому вредоносному приложению, установленному на том же устройстве, что и уязвимая игра, загружать и исполнять подставленную нативную библиотеку.

Это открывает возможность выполнения произвольного кода с теми же привилегиями, что и у игры-жертвы.

Хотя уязвимость была впервые замечена на Android, ее корневая причина, а именно непроверенная обработка аргумента командной строки -xrsdk-pre-init-library, присутствует и в версиях Unity для Windows, macOS и Linux.

На этих платформах существуют разные способы передачи непроверенных аргументов или изменения путей поиска библиотек, что при определенных условиях также может привести к эксплуатации уязвимости.

Unity заявляет, что на момент публикации бюллетеня 2 октября случаев активной эксплуатации уязвимости зафиксировано не было.

Компания выпустила исправления и описала шаги по устранению проблемы:

• Обновить Unity Editor до последней версии.
• Пересобрать и заново развернуть приложение.
• При необходимости заменить исполняемый файл Unity Runtime на исправленный.

Исправления распространяются даже на некоторые устаревшие версии движка, начиная с Unity 2019.1. Однако более ранние версии, которые официально не поддерживаются, обновления не получат.