In der Unity-Engine wurde eine kritische Schwachstelle identifiziert: CVE-2025-59489 mit einem CVSS-Wert von 8.4. Die Luecke steckt in der Unity Runtime und besteht seit Unity 2017.1. Sie ermoeglicht beliebige Codeausfuehrung auf Android sowie unter bestimmten Voraussetzungen eine Privilegienerweiterung auf Windows. Unity, Valve und Microsoft haben Updates und Leitlinien zur Risikominimierung bereitgestellt.
Was passiert ist: Schwachstelle in Unity Runtime mit hohem Risiko
Entdeckt wurde die Anfaelligkeit von RyotaK (GMO Flatt Security). Sie beruht auf unsicherer Bibliotheksladung und lokaler Dateieinbindung (LFI), was in Unity-Anwendungen zum Ausfuehren fremden Codes bzw. zum Informationsabfluss fuehren kann. Laut Unity ist die Ausnutzung auf die Rechte des betroffenen Prozesses begrenzt, dennoch entsteht ein erhebliches Risiko fuer Nutzer und die Spiele-Oekosysteme ueber mehrere Plattformen hinweg.
Technische Ursache und Angriffsvektoren: -xrsdk-pre-init-library
Ursache ist die unzureichend validierte Verarbeitung des Kommandozeilenparameters -xrsdk-pre-init-library. Auf Android erlauben Intents unter bestimmten Bedingungen, dass ein anderes App auf demselben Geraet den Pfad zu einer nativen Bibliothek manipuliert. Die betroffene Unity-App laedt daraufhin eine vom Angreifer kontrollierte Bibliothek, wodurch Code im Kontext der App ausgefuehrt wird.
Aehnliche Risiken bestehen auf Windows, macOS und Linux, wenn nicht vertrauenswuerdige Argumente in die Startkette gelangen oder Suchpfade fuer Bibliotheken beeinflusst werden koennen. Fuer Windows beschreibt die Analyse Konstellationen, in denen daraus eine Privilegienerweiterung resultieren kann. Diese plattformuebergreifenden Vektoren erklaeren die Einstufung als High Severity.
Betroffene Produkte und Reaktionen der Anbieter
Unity wird in Tausenden von Titeln in Mobile-, PC- und Konsolen-Umgebungen sowie in Echtzeit-3D-Anwendungen ausserhalb des Gaming-Sektors eingesetzt. Microsoft zaehlt zu den potenziell betroffenen Spielen unter anderem Hearthstone, The Elder Scrolls: Blades, Fallout Shelter, DOOM (2019), Wasteland 3 und Forza Customs. Gleichzeitig betont Unity, dass es derzeit keine Hinweise auf aktive Ausnutzung gibt.
Als Reaktion blockiert der Steam-Client von Valve nun riskante, kundenspezifische URI-Schemata, um eine Ausnutzung ueber Spiel-Launcher zu unterbinden. Microsoft aktualisierte Microsoft Defender und riet, besonders gefaehrdete Spiele voruebergehend zu entfernen, bis Patches verfuegbar sind.
Patches, Updates und Migrationspfade
Unity hat Fixes bereitgestellt, einschliesslich fuer formal abgekündigte Zweige ab Unity 2019.1. Aeltere Versionen werden nicht mehr aktualisiert. Empfohlener Weg: Editor aktualisieren, Anwendung neu bauen und veroeffentlichen und den Unity Runtime-Build durch die korrigierte Variante ersetzen. Valve empfiehlt, Spiele umgehend gegen ein sicheres Unity-Release neu zu kompilieren oder das gepatchte UnityPlayer.dll in bestehende Builds zu integrieren.
Mehrere Studios haben bereits reagiert: Obsidian entfernte temporaer diverse Titel aus Stores (u. a. Grounded 2 Founders Edition, Avowed Premium Edition, Pillars of Eternity, Pillars of Eternity II: Deadfire, Pentiment). Updates sind bereits fuer Marvel Snap, No Rest for the Wicked, Ingress und Fate/Grand Order verfuegbar; ein Patch fuer Persona 5: The Phantom X ist in Arbeit.
Empfehlungen zur Risikominimierung
Fuer Entwickler
Sofort auf die gepatchte Unity-Version fuer CVE-2025-59489 umstellen, Builds komplett neu erstellen und ausrollen. Startketten pruefen (Kommandozeilenargumente, benutzerdefinierte URI-Schemata, Launcher) und die Richtlinien zur Bibliotheksladung hart absichern. Auf Mobilplattformen Interaktionsflaechen via Intents minimieren und Berechtigungen restriktiv setzen. Drittanbieter-Plugins auf unsichere Ladepfade, LD_LIBRARY_PATH-Manipulationen und unsignierte nativen Komponenten pruefen.
Fuer Anwender
Den Empfehlungen von Microsoft folgen: potenziell betroffene Spiele temporaer deinstallieren und nach Patch erneut installieren. Den Steam-Client und Microsoft Defender aktualisieren. Auf Android die Installation unbekannter Apps vermeiden, die mit Spielen interagieren koennten, und Sicherheitsupdates zeitnah einspielen.
Die Episode um CVE-2025-59489 zeigt, wie kritisch die Validierung von Eingabeparametern und die Kontrolle von Bibliotheksladepfaden in komplexen Laufzeiten sind. Je schneller Entwickler auf den korrigierten Unity Runtime migrieren und Updates veroeffentlichen, desto geringer das Missbrauchsrisiko. Nutzer sollten Spiel-Updates aktiv verfolgen und Patches unverzueglich installieren, um Daten und Geraete wirksam zu schuetzen.
