Deweloperzy wezwani do natychmiastowego łatania gier po wykryciu poważnej luki w zabezpieczeniach Unity po 8 latach

Krytyczna luka w zabezpieczeniach, która bezczynnie tkwiła w silniku Unity od 2017 roku została ujawniona. Po jej wykryciu deweloperzy na całym świecie otrzymali ostrzeżenie od platformy deweloperskiej, a powiadomienia natychmiast wezwały ich do ponownej kompilacji i ponownej publikacji gier w celu ochrony użytkowników.

Luka CVE-2025-59489 umożliwia wykonanie dowolnego kodu poprzez wstrzyknięcie argumentu w Unity Runtime, pozwalając potencjalnym atakującym z lokalnym dostępem na załadowanie złośliwych bibliotek i eskalację uprawnień.

Luka została odkryta 4 czerwca 2025 roku przez badacza bezpieczeństwa RyotaK z GMO Flatt Security Inc. Luka w zabezpieczeniach dotyczy gier i aplikacji zbudowanych przy użyciu Unity w wersji 2017.1 i nowszych na Android, Linux i macOS.

Według CVSS, Common Vulnerability Scoring System, który jest metodą używaną do pomiaru powagi podatności oprogramowania, Unity 2017.1 uzyskuje "wysoki" wynik 8,4 na 10.

Unity ujawniło tę lukę 2 października 2025 r., wzywając do wprowadzenia poprawek tego samego dnia dla wersji Unity Editor począwszy od 2019.1, wraz z binarnym narzędziem do łatania do modernizacji kompilacji z 2017.1.

W swoim oficjalnym poradniku bezpieczeństwaunity podkreśliło: "Nie ma dowodów na istnienie jakiegokolwiek exploita lub luki w zabezpieczeniach, ani też nie było żadnego wpływu na użytkowników lub klientów" Unity stwierdziło ponadto: "Proaktywnie dostarczyliśmy poprawki, które usuwają tę lukę i są one już dostępne dla wszystkich deweloperów"

Unity zakończyło post doradczy następującymi uwagami końcowymi: "Unity jest oddane bezpieczeństwu i integralności naszej platformy, naszych klientów i szerszej społeczności. Przejrzysta komunikacja ma kluczowe znaczenie dla tego zobowiązania i będziemy nadal dostarczać aktualizacje w razie potrzeby"

Odkrycie to wywołało masową histerię w całej branży, ponieważ główne studia i niezależni deweloperzy ścigali się, aby zaktualizować tytuły, co doprowadziło do tymczasowego usunięcia ich ze sklepów. Obsidian Entertainment usunęło kilka gier opartych na Unity, w tym Pillars of Eternity II: Deadfire i Pentiment, 3 października. Among Us dewelopera Innersloth i Marvel Snap's Second Dinner również potwierdziły poprawki dla swoich tytułów mobilnych.

Podobnie, PsychoFlux Entertainment podobno załatało 11 gier Steam, takich jak Gravity Castle i Fingerdance, podczas gdy Tenbris Studio zaktualizowało swój horror "Your Computer Might be At Risk" na Steam.

Epizod ten pokazuje, że nieznalezione luki wciąż czają się w starszym kodzie. Szybka reakcja Unity mogła jednak ograniczyć skutki, które w przeciwnym razie mogłyby wystąpić w przypadku silnika gry, który obsługuje aż 750 000 gier, od tytułów AAA po gry niezależne.

Kup Learning C# by Developing Games with Unity na Amazon