Kerentanan eksekusi kode dalam mesin game Unity dapat dieksploitasi untuk mencapai eksekusi kode pada Android dan Eskalasi Hak istimewa pada Windows.
Unity adalah mesin permainan lintas platform dan platform pengembangan yang menyediakan rendering, fisika, animasi, dan alat skrip untuk pengembang untuk membuat judul untuk Windows, MacOS, Android, iOS, konsol, dan web.
Sejumlah besar game seluler dibangun dengan persatuan, serta judul indie dan mid-tier PC/konsol. Platform ini juga digunakan dalam industri non-gaming untuk aplikasi 3D real-time.
Pengguna Valve dan Microsoft memperingatkan
Menanggapi risikonya, Steam telah mengambil tindakan dengan melepaskan a Pembaruan Klien Baru Itu memblokir peluncuran skema URI khusus untuk mencegah eksploitasi melalui platform distribusinya.
Pada saat yang sama, Valve merekomendasikan agar penerbit membangun kembali game mereka menggunakan versi Unity yang aman, atau pasang versi yang ditambal dari file ‘UnityPlayer.dll’ tepat ke dalam build yang ada.
Microsoft juga memiliki menerbitkan buletin Untuk memperingatkan tentang masalah ini, merekomendasikan pengguna untuk menghapus game rentan sampai versi baru yang membahas CVE-2025-59489 tersedia.
Perusahaan mengatakan bahwa judul permainan populer rentan, termasuk Hearthstone, The Elder Scrolls: Blades, Fallout Shelter, Doom (2019), Wasteland 3, dan Forza Customs.
Unity merekomendasikan pengembang untuk memperbarui editor ke cabang versi terbaru dan kemudian mengkompilasi ulang dan menggunakan kembali game atau aplikasi mereka.
Patch diperluas ke beberapa versi yang tidak didukung
Kerentanan dilacak sebagai CVE-2025-59489 dan mempengaruhi komponen runtime. Ini memungkinkan pemuatan file yang tidak aman dan inklusi file lokal, dan dapat menyebabkan eksekusi kode dan pengungkapan informasi.
Peneliti GMO Flatt Security ‘Ryotak’ menemukan kerentanan pada bulan Mei, pada konferensi peneliti Bounty Bug Meta dan mengatakan bahwa itu mempengaruhi semua game yang dibangun di versi mesin mulai 2017.1.
“[The vulnerability] dapat mengizinkan eksekusi kode lokal dan akses ke informasi rahasia pada perangkat pengguna akhir yang menjalankan aplikasi yang dibangun untuk Unity, ”Unity memperingatkannya Buletin Keamanan.
“Eksekusi kode akan terbatas pada tingkat hak istimewa dari aplikasi yang rentan, dan pengungkapan informasi akan terbatas pada informasi yang tersedia untuk aplikasi yang rentan.”
Di sebuah Tulisan teknisRyotak menunjukkan bahwa penanganan Unity atas niat Android memungkinkan setiap aplikasi jahat diinstal pada perangkat yang sama dengan permainan yang rentan untuk memuat dan menjalankan perpustakaan asli yang disediakan oleh penyerang.
Ini memungkinkan penyerang untuk mencapai eksekusi kode sewenang -wenang dengan hak istimewa permainan target.
Sementara Ryotak menemukan masalah di Android, akar penyebabnya – penanganan Unity terhadap -xrsdk-pre-init-library Argumen baris perintah tanpa validasi atau sanitasi yang tepat, juga ada pada platform operasi Windows, MacOS, dan Linux.
Ada jalur input yang berbeda pada sistem ini yang dapat memberi makan argumen yang tidak dipercaya atau memodifikasi jalur pencarian pustaka pada aplikasi yang ditargetkan, jadi ketika kondisinya dipenuhi, eksploitasi dimungkinkan.
Unity menyatakan bahwa mereka tidak mengamati eksploitasi aktif pada publikasi buletinnya pada 2 Oktober.
Perbaikan tersedia dan langkah -langkah remediasi termasuk memperbarui “Editor Unity ke versi terbaru kemudian membangun kembali dan memindahkan aplikasi” dan mengganti biner runtime Unity dengan versi yang ditambal.
Unity telah merilis perbaikan untuk versi yang tidak didukung mulai 2019.1 dan yang lebih baru. Versi lama yang tidak lagi didukung tidak akan menerima tambalan.
Acara Validasi Keamanan Tahun Ini: KTT PICUS BAS
Bergabunglah dengan KTT Breach and Attack Simulation dan alami masa depan validasi keamanan. Mendengar dari para ahli top dan lihat caranya BAS bertenaga AI mengubah pelanggaran dan simulasi serangan.
Jangan lewatkan acara yang akan membentuk masa depan strategi keamanan Anda
