Steam i Microsoft upozoravaju gejmere

Greška, označena kao CVE-2025-59489, može omogućiti napadačima da izvrše proizvoljan kod preko aplikacija napravljenih pomoću ranjivih verzija ovog alata, što omogućava malicioznom fajlu da preuzme dozvole Unity igre i izvršava komande koristeći privilegije aplikacije na uređaju žrtve.

To znači da bi napadač mogao da dobije pristup poverljivim podacima na korisničkom uređaju, zloupotrebi privilegije igre ili aplikacije i izvrši komande bez znanja korisnika.

Unity navodi da je ranjivost ograničena na nivo privilegija same aplikacije, odnosno da napadač ne može preuzeti ceo sistem, ali i dalje može doći do značajnog curenja podataka.

Kompanija je saopštila da ranjivost prvenstveno pogađa Android, Windows, Linux i macOS sisteme, ali i da se ne može iskoristiti na iOS uređajima, niti na igrama za Xbox, PlayStation ili Nintendo Switch.

Trenutno nema dokaza o aktivnom iskorišćavanju ranjivosti, ali rizik je ogroman zbog široke upotrebe Unity engine-a. Na milijardama Android uređaja širom sveta instalirane su igre napravljene pomoću ovog alata, uključujući Pokémon GO, Genshin Impact i Call of Duty: Mobile.

Unity je već izdao zakrpe i pozvao programere da hitno ažuriraju svoje projekte.

• Activision to rešava za 30 minuta: Uklonjeno 97% varalica u CoD: Black Ops 7
• Ilon Mask sprema AI igru: Promeniće industriju zabave
• Prikupljeno skoro 1,5 miliona potpisa za spas igara

Microsoft je upozorio da se ranjive igre i aplikacije privremeno deinstaliraju dok se ne ažuriraju, ali je naveo da je u većini slučajeva dovoljno da su igre i aplikacije ažurirane i da Microsoft Defender radi na uređaju.

Steam je objavio da će blokirati pokušaje pokretanja igara koje koriste "bilo koji od četiri parametra komandne linije navedena u izveštaju Unity-ja", koji bi mogli biti zloupotrebljeni.

Ranjivost je prijavljena tokom konferencije istraživača Meta Bug Bounty u junu, a otkrio ju je istraživač RyotaK iz japanske kompanije GMO Flatt Security.