Оффлайн
- Регистрация
- 9 Май 2015
- Сообщения
- 1,562
- Баллы
- 155
В игровом движке Unity обнаружили уязвимость, существовавшую с 2017 года. Проблема может использоваться для выполнения кода на Android и для повышения привилегий в Windows. Разработчики Valve уже обновили Steam, а Microsoft — Microsoft Defender и рекомендовали пользователям удалить уязвимые игры, пока они не получат патчи.
Уязвимость
Unity представляет собой кроссплатформенный игровой движок и платформу для разработки, предоставляющую инструменты для рендеринга, физики, анимации и скриптинга для создания игр под Windows, macOS, Android, iOS, консоли и веб. На базе Unity построено огромное количество мобильных игр, а также множество инди-проектов для ПК и консолей. Кроме того, платформа используется за пределами игровой индустрии для создания real-time 3D-приложений.
Уязвимость в Unity получила идентификатор (8,4 балла по шкале CVSS) и затрагивает компонент Runtime. Она позволяет выполнять небезопасную загрузку и локальное включение файлов (LFI), что в итоге может привести к выполнению кода и раскрытию информации.
Проблему еще в мае текущего года обнаружил специалист GMO Flatt Security известный под псевдонимом RyotaK. Он рассказывает, что баг затрагивает все игры, построенные на базе Unity, начиная с версии 2017.1 и более поздних.
В RyotaK , что обработка Android Intents в Unity позволяет любому вредоносному приложению, установленному на том же устройстве, что и уязвимая игра, загрузить и выполнить нативную библиотеку, предоставленную атакующим. В результате это позволяет добиться выполнения произвольного кода с привилегиями уязвимой игры.
Хотя RyotaK объясняет, что исходно обнаружил проблему на Android, первопричина уязвимости (обработка Unity аргумента командной строки -xrsdk-pre-init-library без должной валидации и очистки) также присутствует в Windows, macOS и Linux. В этих системах существуют различные пути ввода, которые могут передавать недоверенные аргументы или изменять пути для поиска библиотек в целевом приложении, поэтому при выполнении определенных условий эксплуатация проблемы в этих ОС тоже возможна.
Подчеркивается, что в настоящее время нет никаких свидетельств эксплуатации этой уязвимости и того, что она могла оказать какое-либо влияние на пользователей или клиентов.
Разработчики уже подготовили патчи, в том числе для неподдерживаемых версий (начиная с 2019.1 и позже). Более старые версии, поддержка которых давно прекращена, исправлений не получат. Шаги по устранению проблемы включают обновление редактора Unity до новейшей версии с последующей пересборкой и редеплоем приложения, а также замену бинарника Unity runtime на исправленную версию.
Реакция
После публикации отчета RyotaK, Valve клиента Steam, которое блокирует запуск кастомных URI-схем для предотвращения эксплуатации CVE-2025-59489. При этом Valve рекомендует разработчикам как можно скорее пересобрать игры с использованием безопасной версии Unity или внедрить пропатченную версию файла UnityPlayer.dll в существующие сборки.
Собственный опубликовала и компания Microsoft, которая рекомендует пользователям удалить уязвимые игры вплоть до появления обновленных версий, в которых проблема CVE-2025-59489 будет устранена. Компания отмечает, что уязвимости подвержены такие популярные игры, как Hearthstone, The Elder Scrolls: Blades, Fallout Shelter, DOOM (2019), Wasteland 3 и Forza Customs.
Представители Obsidian сообщают, что были вынуждены временно некоторые игры и продукты из цифровых магазинов (включая Grounded 2 Founders Edition, Avowed Premium Edition, Pillars of Eternity: Hero Edition, Pillars of Eternity II: Deadfire и Pentiment), до тех пор, пока для них не выйдут «необходимые обновления для решения проблемы».
Также известно, что обновления уже получили , , и , а патч для Persona 5: The Phantom X .