У кросплатформному рушії Unity виявлено критичну уразливість CVE-2025-59489 з оцінкою CVSS 8.4, яка присутня щонайменше з версії Unity 2017.1. Помилка у компоненті Runtime відкриває шлях до виконання довільного коду на Android і, за певних умов, підвищення привілеїв у Windows. Unity вже випустила виправлення, а екосистема — від Valve до Microsoft — оперативно відреагувала додатковими мірами захисту.
Як працює атака: аргумент -xrsdk-pre-init-library і небезпечне завантаження бібліотек
Дослідник RyotaK (GMO Flatt Security) виявив, що Unity Runtime некоректно обробляє аргумент командного рядка -xrsdk-pre-init-library, що призводить до локального включення файлів (LFI) і небезпечного завантаження нативних бібліотек. На Android це поєднується з обробкою Intent, дозволяючи іншому застосунку на пристрої підмінити шлях до бібліотеки. У підсумку гра завантажує код атакувальника і виконує його в своєму контексті — з тими ж правами доступу, що й сама гра.
Схожі сценарії можливі на Windows, macOS і Linux, якщо існують канали для передавання недовірених аргументів або впливу на пошукові шляхи бібліотек. Це робить уразливість міжплатформною, що й пояснює високий бал за CVSS: компрометація відбувається без експлойтів ядра, але з вагомими наслідками для конфіденційності і цілісності даних.
Масштаб впливу та реакція вендорів: Unity, Valve, Microsoft
Unity — один із наймасовіших рушіїв у геймдеві та поза ним, тож площа ураження значна. За оцінкою Microsoft, уразливість торкається низки відомих ігор, зокрема Hearthstone, The Elder Scrolls: Blades, Fallout Shelter, DOOM (2019), Wasteland 3 і Forza Customs. Водночас наразі немає підтверджень активної експлуатації, що дає вікно для безпечного оновлення.
Після публікації звіту Valve оновила Steam-клієнт, додатково обмеживши запуск ігор через кастомні URI-схеми, аби ускладнити потенційні ланцюжки експлуатації CVE-2025-59489. Microsoft випустила рекомендації з пом’якшення ризиків, оновила Microsoft Defender і запропонувала тимчасово видалити уразливі ігри, доки розробники не випустять патчі.
Патчі та оновлення: які версії Unity закрито і що робити студіям
Unity надала виправлення для підтримуваних гілок та навіть для частини історичних релізів (починаючи з 2019.1). Більш давні версії оновлюватися не будуть. Рекомендований шлях для студій: оновити редактор Unity до виправленої версії, повністю перескласти проєкт, перевидати застосунок і замінити бінарій Unity Runtime на пропатчений.
Valve додатково радить або терміново перескласти гру на безпечній версії Unity, або інтегрувати пропатчений UnityPlayer.dll у вже випущені збірки. Частина команд контенту вже відреагувала: наприклад, Obsidian тимчасово прибрала ряд проєктів з магазинів (Grounded 2 Founders Edition, Avowed Premium Edition, Pillars of Eternity, Pillars of Eternity II: Deadfire, Pentiment) до отримання оновлень. Патчі вже доступні для Marvel Snap, No Rest for the Wicked, Ingress, Fate/Grand Order; оновлення для Persona 5: The Phantom X у роботі.
Рекомендації з кібергігієни та мінімізації ризиків
Для розробників і видавців
Негайно оновіть Unity до версії з виправленням CVE-2025-59489 і виконайте повний rebuild/redistribute. Перевірте ланцюги запуску (аргументи командного рядка, лаунчери, кастомні URI-схеми), політику завантаження нативних бібліотек і поведінку сторонніх плагінів. На мобільних платформах обмежуйте поверхню взаємодії через Intents і перегляньте дозволи.
Для користувачів
Оновіть Steam і Microsoft Defender, стежте за патчами у своїх іграх. За рекомендацією Microsoft тимчасово видаліть уразливі тайтли і перевстановіть їх після виходу виправлень. На Android уникайте встановлення невідомих застосунків, які можуть взаємодіяти з іграми через міжпроцесні механізми.
Інцидент із Unity Runtime показує, наскільки критичною є валідація вхідних аргументів і суворий контроль ланцюгів завантаження бібліотек у кросплатформних продуктах. Чим швидше розробники перевипустять збірки на безпечних версіях, тим нижчий ризик реальних атак. Користувачам варто оперативно застосовувати оновлення та дотримуватися базових принципів кібергігієни — це найкращий спосіб убезпечити дані й пристрої від компрометації.
