Крупная брешь в защите игрового движка Unity может использоваться хакерами для запуска вредоносного кода на устройствах с Android и для получения расширенного доступа на системах под управлением Windows. Об этом сообщили сразу две компании (Steam и Microsoft), которые уже начали внедрять меры по ограничению распространения потенциальных атак.
Unity активно применяется в разработке мобильных и компьютерных игр, а также используется в проектах виртуальной и дополненной реальности.
Этот движок служит основой для множества популярных тайтлов на платформах Windows, macOS, Android, iOS и игровых консолях. Помимо игровой индустрии, Unity широко распространён в инженерных и архитектурных приложениях, где необходима работа с интерактивной 3D-графикой в реальном времени.
По данным Microsoft, выявленная проблема получила идентификатор CVE-2025-59489. Она затрагивает компонент Runtime, что открывает хакерам возможность локально загружать и исполнять произвольные файлы, а также получать доступ к конфиденциальной информации. В корпорации подчёркивают, что уязвимость может быть использована для несанкционированного выполнения кода от имени уязвимого приложения.
В бюллетене Microsoft указано, что под угрозой находятся известные игры, в числе которых Hearthstone, The Elder Scrolls: Blades, Fallout Shelter, Wasteland 3, DOOM (2019) и Forza Customs. Представители компании настоятельно советуют удалить такие приложения до выхода обновлений, устраняющих уязвимость.
Платформа Steam, принадлежащая Valve, отреагировала на инцидент оперативно. Было выпущено обновление клиента, блокирующее запуск пользовательских URI-схем. Такой шаг должен остановить попытки эксплуатации уязвимости через магазин Steam. Кроме того, Valve предложила разработчикам пересобирать свои игры с использованием безопасной версии Unity или вручную заменить компонент «UnityPlayer.dll» на исправленный.
Представители Unity также выпустили предупреждение, в котором говорится, что угроза затрагивает версии движка, начиная с Unity 2017.1. Разработчикам рекомендовано срочно обновить редактор до актуальной версии, пересобрать проекты и повторно разместить их на цифровых площадках.
Информацию об уязвимости впервые представил исследователь под псевдонимом RyotaK на конференции Meta Bug Bounty в мае текущего года. RyotaK работает в японской компании GMO Flatt Security и специализируется на анализе цифровых угроз. В своём техническом докладе он указал, что механизм обработки Android Intents в Unity позволяет вредоносным приложениям, установленным на том же устройстве, подменять библиотеки и внедрять код. Таким образом, вредонос получает те же права доступа, что и целевая игра.
В опубликованном Unity бюллетене по информационной защите подчёркивается, что успешная атака способна привести к выполнению стороннего кода и утечке данных. Уровень ущерба напрямую зависит от привилегий уязвимого приложения и структуры информации, к которой оно имеет доступ.