Основы Интернет - технологий.

В игровом движке Unity обнаружили уязвимость, существовавшую с 2017 года. Проблема может использоваться для выполнения кода на Android и для повышения привилегий в Windows. Разработчики Valve уже обновили Steam, а Microsoft — Microsoft Defender и рекомендовали пользователям удалить уязвимые игры, пока они не получат патчи. Уязвимость Unity представляет собой кроссплатформенный игровой движок и платформу для разработки, предоставляющую инструменты для рендеринга, физики, анимации и скриптинга для создания игр под Windows, macOS, Android, iOS, консоли и веб. На базе Unity построено огромное количество мобильных игр, а также множество инди-проектов для ПК и консолей. Кроме того, платформа используется за пределами игровой индустрии для создания real-time 3D-приложений. Уязвимость в Unity получила идентификатор CVE-2025-59489 (8,4 балла по шкале CVSS) и затрагивает компонент Runtime. Она позволяет выполнять небезопасную загрузку и локальное включение файлов (LFI), что в итоге может привести к выполнению кода и раскрытию информации. Проблему еще в мае текущего года обнаружил специалист GMO Flatt Security известный под псевдонимом RyotaK. Он рассказывает, что баг затрагивает все игры, построенные на базе Unity, начиная с версии 2017.1 и более поздних. В техническом отчете RyotaK демонстрирует, что обработка Android Intents в Unity позволяет любому вредоносному приложению, установленному на том же устройстве, что и уязвимая игра, загрузить и выполнить нативную библиотеку, предоставленную атакующим. В результате это позволяет добиться выполнения произвольного кода с привилегиями уязвимой игры. Хотя RyotaK объясняет, что исходно обнаружил проблему на Android, первопричина уязвимости (обработка Unity аргумента командной строки -xrsdk-pre-init-library без должной валидации и очистки) также присутствует в Windows, macOS и Linux. В этих системах существуют различные пути ввода, которые могут передавать недоверенные аргументы или изменять пути для поиска библиотек в целевом приложении, поэтому при выполнении определенных условий эксплуатация проблемы в этих ОС тоже возможна. «Уязвимость позволяет осуществить локальное выполнение кода и получить доступ к конфиденциальной информации на устройствах конечных пользователей, запускающих приложения, созданные на базе Unity, — предупреждают разработчики Unity в своем бюллетене безопасности. — Выполнение кода будет ограничено уровнем привилегий уязвимого приложения, а раскрытие информации — информацией, доступной уязвимому приложению». Подчеркивается, что в настоящее время нет никаких свидетельств эксплуатации этой уязвимости и того, что она могла оказать какое-либо влияние на пользователей или клиентов. Разработчики уже подготовили патчи, в том числе для неподдерживаемых версий (начиная с 2019.1 и позже). Более старые версии, поддержка которых давно прекращена, исправлений не получат. Шаги по устранению проблемы включают обновление редактора Unity до новейшей версии с последующей пересборкой и редеплоем приложения, а также замену бинарника Unity runtime на исправленную версию. Реакция После публикации отчета RyotaK, Valve выпустила обновление клиента Steam, которое блокирует запуск кастомных URI-схем для предотвращения эксплуатации CVE-2025-59489. При этом Valve рекомендует разработчикам как можно скорее пересобрать игры с использованием безопасной версии Unity или внедрить пропатченную версию файла UnityPlayer.dll в существующие сборки. Собственный бюллетень безопасности опубликовала и компания Microsoft, которая рекомендует пользователям удалить уязвимые игры вплоть до появления обновленных версий, в которых проблема CVE-2025-59489 будет устранена. Компания отмечает, что уязвимости подвержены такие популярные игры, как Hearthstone, The Elder Scrolls: Blades, Fallout Shelter, DOOM (2019), Wasteland 3 и Forza Customs. Представители Obsidian сообщают, что были вынуждены временно удалить некоторые игры и продукты из цифровых магазинов (включая Grounded 2 Founders Edition, Avowed Premium Edition, Pillars of Eternity: Hero Edition, Pillars of Eternity II: Deadfire и Pentiment), до тех пор, пока для них не выйдут «необходимые обновления для решения проблемы». Также известно, что обновления уже получили Marvel Snap, No Rest for the Wicked, Ingress и Fate/Grand Order, а патч для Persona 5: The Phantom X уже находится в разработке.