Компания Unity Technologies официально сообщила о критической уязвимости удалённого выполнения кода (RCE), которая затрагивает все версии движка, начиная с Unity 2017.1. Проблема потенциально позволяет злоумышленникам выполнять вредоносный код на компьютере игрока, получая доступ к данным и системе.
Согласно публичному отчёту CVE-2025-59489 , опубликованному Ларри “Major Nelson” Хрибом, уязвимость присутствует в Unity Runtime компоненте, который отвечает за запуск игр на различных платформах. Это значит, что под угрозой находятся проекты, выпущенные для Windows, macOS, Linux и Android.
Unity заявила, что активно сотрудничает с крупными платформами, включая Microsoft Store и Steam, для автоматического распространения патчей. К счастью, на данный момент не зафиксировано случаев эксплуатации уязвимости, однако компания настоятельно рекомендует всем разработчикам немедленно обновить свои игры.
Какие версии Unity пострадали
Уязвимость затрагивает все версии Unity, начиная с 2017.1 и вплоть до Unity 6, включительно. Даже проекты, выпущенные несколько лет назад, могут оказаться под угрозой.
Разработчики, работающие над новыми проектами, должны пересобрать свои игры с использованием последней версии Unity Editor, включающей исправления.
Для уже опубликованных игр Unity выпустила специальный патчер, который позволяет устранить проблему без полной перекомпиляции. Однако важно учитывать, что патчер не работает с проектами, где используются античит-системы (например, Easy Anti-Cheat или BattleEye).
Что предпринимают компании
- Microsoft уже обновила Windows Defender, чтобы он автоматически обнаруживал попытки эксплуатации этой уязвимости.
- Google усилила защиту на Android, обновив встроенные антивирусные механизмы.
- Valve выпустила обновления безопасности для Steam, чтобы защитить пользователей от потенциальных атак через уязвимые сборки Unity-игр.
Unity также предупредила, что игры, не получившие обновления, могут быть удалены из цифровых магазинов, если они представляют угрозу пользователям.
Движок Unity используется в тысячах игр от инди-проектов до крупных коммерческих тайтлов, включая Hollow Knight, Subnautica, Cuphead, Ori and the Blind Forest, Escape from Tarkov и многие другие.
Его популярность объясняется кроссплатформенностью, гибкостью и лёгкостью в использовании, однако масштаб распространения делает подобные уязвимости особенно опасными.
Unity призывает всех разработчиков немедленно установить обновления и применить патчи, чтобы защитить пользователей от потенциальных атак. Хотя случаев злоупотребления уязвимостью пока не выявлено, промедление с обновлением может привести к удалению игр из магазинов и потере репутации разработчиков.
Компания заверила, что все необходимые инструменты уже доступны и пользователи могут спокойно продолжать играть при условии, что разработчики оперативно отреагируют.
