Unity Technologies a dezvăluit o vulnerabilitate de securitate critică ce a provocat un val de șoc în industria jocurilor video, determinând lansarea urgentă de patch-uri și retragerea temporară a unor jocuri, în timp ce dezvoltatorii se grăbesc să protejeze milioane de jucători din întreaga lume.
Vulnerabilitatea, desemnată CVE-2025-59489 și având un scor ridicat de severitate de 8,4, afectează jocurile create cu versiuni Unity 2017.1 și ulterioare, pe platformele Windows, Android, macOS și Linux. Descoperită în iunie de cercetătorul de securitate RyotaK de la GMO Flatt Security Inc., breșa permite încărcarea nesigură a fișierelor și executarea de cod local, ceea ce poate permite actorilor rău intenționați să ruleze cod neautorizat în cadrul aplicațiilor cu același nivel de privilegii ca și jocul vulnerabil.
Dezvoltatorii majori iau măsuri imediate
Obsidian Entertainment a luat măsura de precauție de a elimina temporar mai multe titluri de mare profil din magazinele digitale, inclusiv Pillars of Eternity II: Deadfire, Pentiment și anumite versiuni ale jocurilor Grounded 2 și Avowed care includ artbook-uri create în Unity. Studioul a subliniat că aceste retrageri sunt măsuri preventive menite să protejeze jucătorii în timp ce se implementează actualizări de securitate necesare.
Dezvoltatorul Cities: Skylines II, Colossal Order, a reacționat rapid pentru a remedia vulnerabilitatea, lansând versiunea 1.3.5f1 pe 3 octombrie ca un hotfix de securitate gratuit. Alți dezvoltatori au urmat exemplul, unele studiouri actualizându-și în tăcere jocurile pentru a include patch-urile Unity.
Măsuri de securitate la nivelul întregii platforme
Steam a implementat măsuri de protecție în cea mai recentă actualizare a clientului său, blocând jocurile care ar putea exploata vulnerabilitatea Unity și împiedicând lansarea titlurilor afectate dacă este detectată o tentativă de exploatare. Platforma afișează acum și informații privind starea Secure Boot și TPM, pentru a ajuta utilizatorii să verifice securitatea sistemului lor.
Google Play și Microsoft Defender și-au actualizat sistemele de securitate pentru a detecta și bloca vulnerabilitatea, în timp ce Unity a subliniat că nu există dovezi privind vreo exploatare activă în mediul real. Acțiunile companiei au scăzut cu 4,1% după dezvăluire, accentuând sentimentul negativ recent după ce HSBC a retrogradat acțiunile de la “cumpărare” la “menținere”.
Îngrijorări legate de portofelele crypto
Experții în securitate și-au exprimat îngrijorarea în special cu privire la impactul potențial al vulnerabilității asupra portofelelor cripto mobile integrate în jocurile Unity. Defectul ar putea permite codului malițios să vizeze acreditările portofelului sau frazele-seed prin tehnici de tip „suprapuneri, captare de intrare sau extragere de ecran”. Publicațiile axate pe criptomonede au sfătuit gamerii pe mobil să actualizeze imediat jocurile bazate pe Unity și să evite instalarea aplicațiilor din surse neoficiale.
Unity a lansat patch-uri pentru toate versiunile afectate, începând cu 2019.1, împreună cu un instrument de patch-ing binar pentru jocurile deja publicate. Compania îi îndeamnă pe toți dezvoltatorii fie să își reconstruiască aplicațiile cu versiunea actualizată a Unity Editor, fie să aplice imediat patch-urile binare furnizate, pentru a-și proteja utilizatorii de potențiale exploatări.
