В кроссплатформенном движке Unity выявлена критическая уязвимость CVE-2025-59489 с оценкой CVSS 8.4, затрагивающая компонент Runtime и присутствующая с релиза Unity 2017.1. Ошибка позволяет злоумышленникам добиваться выполнения произвольного кода на Android и, при определенных условиях, повышения привилегий в Windows. Unity выпустила обновления, Valve обновила Steam-клиент, а Microsoft опубликовала рекомендации по снижению рисков.
Что произошло: уязвимость в Unity Runtime со статусом высокого риска
Исследователь GMO Flatt Security, известный как RyotaK, обнаружил, что Unity Runtime допускает небезопасную загрузку и локальное включение файлов (LFI). Это ведет к выполнению кода и потенциальному раскрытию информации в приложениях, созданных на Unity. По данным Unity, эксплуатация ограничена привилегиями уязвимого приложения, но все равно создает значимые риски для конечных пользователей и экосистемы игр.
Как работает атака: небезопасная загрузка библиотек и аргумент -xrsdk-pre-init-library
Ключевой причиной стала обработка аргумента командной строки -xrsdk-pre-init-library без достаточной валидации. На Android обработка Intents позволяет другому приложению на том же устройстве подменить путь к нативной библиотеке, вынудив игру загрузить и выполнить библиотеку атакующего. В результате злоумышленник получает возможность запускать код в контексте игры, а значит — доступ к ее правам и данным.
Аналогичная логика существует на Windows, macOS и Linux: при наличии каналов, через которые можно передать недоверенные аргументы либо повлиять на поисковые пути для библиотек, сценарии эксплуатации также возможны. Это объясняет, почему уязвимость классифицирована как межплатформенная и получила высокий балл по CVSS.
Масштаб затронутых продуктов и подтвержденные реакции вендоров
Unity — один из самых распространенных движков в индустрии, на нем построены тысячи мобильных, ПК и консольных проектов, а также real-time 3D-приложения за пределами геймдева. По оценке Microsoft, к уязвимым относятся популярные игры, включая Hearthstone, The Elder Scrolls: Blades, Fallout Shelter, DOOM (2019), Wasteland 3 и Forza Customs. При этом Unity отмечает, что на текущий момент нет свидетельств активной эксплуатации.
После публикации отчета RyotaK компания Valve выпустила обновление Steam, блокирующее запуск кастомных URI-схем, чтобы предотвратить возможную эксплуатацию CVE-2025-59489 через механизмы запуска игр. Microsoft обновила Microsoft Defender и рекомендовала временно удалить уязвимые игры до выхода исправленных версий.
Патчи и обновления: статус по платформам и играм
Unity подготовила исправления, в том числе для веток, формально снятых с поддержки (начиная с 2019.1). Более старые релизы обновляться не будут. Рекомендуемые шаги для разработчиков: обновить редактор Unity до актуальной версии, пересобрать и переиздать приложение, а также заменить бинарник Unity Runtime на исправленный. Valve советует разработчикам оперативно пересобрать игры на безопасной версии Unity либо внедрить пропатченный UnityPlayer.dll в уже выпущенные сборки.
На стороне контента часть студий уже предпринимает шаги: Obsidian временно убрала ряд проектов из цифровых магазинов (включая Grounded 2 Founders Edition, Avowed Premium Edition, Pillars of Eternity, Pillars of Eternity II: Deadfire, Pentiment) до получения необходимых обновлений. Обновления уже вышли для Marvel Snap, No Rest for the Wicked, Ingress и Fate/Grand Order; патч для Persona 5: The Phantom X в разработке.
Рекомендации по снижению рисков для разработчиков и пользователей
Для разработчиков
Немедленно обновите Unity до версии с исправлением CVE-2025-59489, выполните полную пересборку и redistrib. Проверьте цепочки запуска (включая аргументы командной строки, кастомные URI-схемы, лаунчеры) и убедитесь, что сторонние плагины не ослабляют политику загрузки библиотек. На мобильных платформах минимизируйте поверхность взаимодействий через Intents и проверьте разрешения.
Для пользователей
Следуйте рекомендациям Microsoft: временно удалите уязвимые игры и переустановите их после выхода обновлений. Обновите Steam и Microsoft Defender. На Android избегайте установки неизвестных приложений, которые могут сосуществовать с играми и пытаться инициировать загрузку вредоносных библиотек через межпроцессные механизмы.
Эпизод с CVE-2025-59489 подчеркивает важность строгой валидации входных аргументов и контроля цепочек загрузки библиотек во всех платформах. Чем быстрее разработчики перевыпустят сборки на исправленном Unity Runtime, тем ниже вероятность появления реальных атак. Пользователям стоит отслеживать обновления любимых игр и своевременно применять патчи — это самый эффективный способ снизить риск компрометации данных и устройств.
