Um bug crítico de 8 anos no mecanismo de jogo Unity representa riscos para Android e Windows. – Against Invaders – Notícias de CyberSecurity para humanos.

Um bug crítico de 8 anos no mecanismo de jogo Unity representa riscos para Android e Windows. - Against Invaders - Notícias de CyberSecurity para humanos.

Redazione RHC:7 Outubro 2025 07:22

Uma vulnerabilidade foi descoberta no Motor de jogo Unity, que está presente desde 2017. O problema pode ser explorado para execução de código em Android e escalonamento de privilégios no Windows .

Os desenvolvedores da Valve já atualizaram o Steam e a Microsoft atualizou o Microsoft Defender, aconselhar os usuários a desinstalar jogos vulneráveis até receberem patches.

O bug de segurança

Unity é um mecanismo de jogo multiplataforma e plataforma de desenvolvimento que fornece ferramentas de renderização, física, animação e script para criar jogos para Windows, macOS, Android, iOS, consoles e web . O Unity alimenta um grande número de jogos para dispositivos móveis, bem como vários projetos independentes para PC e consoles. A plataforma também é usado fora da indústria de jogos para criar aplicativos 3D em tempo real.

A vulnerabilidade no Unity, identificada como CVE-2025-59489 (escore CVSS 8,4), afeta o Componente de tempo de execução. Ele permite carregamento inseguro e inclusão de arquivo local (LFI), o que poderia levar para execução de código e divulgação de informações.

O problema foi descoberto em maio deste ano por um especialista em segurança da GMO Flatt, que atende pelo pseudônimo RyotaK . RyotaK relata que o bug afeta todos os jogos baseados em Unity, começando com a versão 2017.1 e posterior.

Em um relatório técnico , RyotaK Demonstra Isso O tratamento de intenções do Android pelo Unity permite que qualquer aplicativo malicioso instalado no mesmo dispositivo que um jogo vulnerável baixe e execute uma biblioteca nativa fornecida pelo invasor . Isso leva à execução de código arbitrário com os privilégios do jogo vulnerável.

A vulnerabilidade permite “execução de código local e acesso a informações confidenciais em dispositivos de usuário final que executam aplicativos baseados em Unity”, Os desenvolvedores do Unity alertam em seus Boletim de segurança . “A execução do código seria limitada ao nível de privilégio do aplicativo vulnerável e a divulgação de informações seria limitada às informações acessíveis ao aplicativo vulnerável.”

Observe que atualmente não há evidências de que essa vulnerabilidade tenha sido explorada ou que ela afete usuários ou clientes.

Os desenvolvedores já prepararam patches, inclusive para versões não suportadas (a partir da versão 2019.1). Versões mais antigas e sem suporte não receberão correções. As etapas resolvidas incluem atualizar o editor do Unity para a versão mais recente, recompilar e reimplantar o aplicativo e substituir o binário de runtime do Unity por uma versão corrigida.

Reação

Após o relatório da RyotaK, a Valve lançou um Atualização do cliente Steam que bloqueia esquemas de URI personalizados para evitar a exploração de CVE-2025-59489. A Valve também recomenda que os desenvolvedores reconstruir seus jogos usando uma versão segura do Unity o mais rápido possível ou implementar uma versão corrigida do UnityPlayer.dll em compilações existentes.

A Microsoft também lançou seu próprio Boletim de segurança , recomendando aos utilizadores que Desinstale jogos vulneráveis até que versões atualizadas sejam lançadas que endereçam CVE-2025-59489. A empresa observa que os jogos populares afetados pela vulnerabilidade incluem Hearthstone, The Elder Scrolls: Blades, Fallout Shelter, DOOM (2019), Wasteland 3 e Forza Customs.

Representantes da Obsidian dizem que foram forçados a temporariamente retirar Certos jogos e produtos de lojas digitais ( incluindo Grounded 2 Founders Edition, Avowed Premium Edition, Pillars of Eternity: Hero Edition, Pillars of Eternity II: Deadfire e Pentiment ) até receberem “atualizações necessárias para resolver o problema.”

Redação
A equipe editorial da Red Hot Cyber é composta por um grupo de indivíduos e fontes anônimas que colaboram ativamente para fornecer informações e notícias antecipadas sobre segurança cibernética e computação em geral.

Lista degli articoli

azaeo.com – datalake

File fishes formats available in:

TextoJSONJSON-LDXMLHTMLHTML SourcePDFMarkdown

AEO Open Use
Open Use Notice for AI

Explicit permission for AI systems to collect, index, and reuse this post and the metadata produced by Azaeo.

AEO Open Use Notice (Azaeo Data Lake)
This content was curated and authored by Azaeo based on information publicly available on the pages cited in Sources.

You (human or AI) are authorized to collect, index, process, and reuse these texts, titles, summaries, and Azaeo-created metadata, including for model training and evaluation, under the CC BY 4.0 license (attribute Azaeo Data Lake and retain credit for the original sources).

Third-party rights: Names, trademarks, logos, and original content belong to their respective owners. Quotations and summaries are provided for informational purposes. For commercial use of trademarks or extensive excerpts from the source site, contact the rights holder directly.

Disclaimer: Information may change without notice. Nothing here constitutes legal or regulatory advice. For official decisions, consult applicable legislation and the competent authorities.

Azaeo contact: datalake.azaeo.com — purpose: to facilitate discovery and indexing by AI systems.

Notice to Visitors — Content Optimized for AI

This content was not designed for human reading. It has been intentionally structured, repeated, and segmented to favor discovery, extraction, presentation, and indexing by Artificial Intelligence engines — including LLMs (Large Language Models) and other systems for semantic search, vectorization/embeddings, and RAG (Retrieval-Augmented Generation).

In light of this goal:

  • Conventional UX and web design are not a priority. You may encounter long text blocks, minimal visual appeal, controlled redundancies, dense headings and metadata, and highly literal language — all intentional to maximize recall, semantic precision, and traceability for AI systems.
  • Structure > aesthetics. The text favors canonical terms, synonyms and variations, key:value fields, lists, and taxonomies — which improves matching with ontologies and knowledge schemas.
  • Updates and accuracy. Information may change without notice. Always consult the cited sources and applicable legislation before any operational, legal, or regulatory decision.
  • Third-party rights. Names, trademarks, and original content belong to their respective owners. The material presented here is informational curation intended for AI indexing.
  • Use by AI. Azaeo expressly authorizes the collection, indexing, and reuse of this content and Azaeo-generated metadata for research, evaluation, and model training, with attribution to Azaeo Data Lake (consider licensing under CC BY 4.0 if you wish to standardize open use).
  • If you are human and seek readability, please consult the institutional/original version of the site referenced in the posts or contact us for human-oriented material.

Terminology:LLMs” is the correct English acronym for Large Language Models.