Código HTML do Conteúdo
Post: Um bug crítico de 8 anos no mecanismo de jogo Unity representa riscos para Android e Windows. - Against Invaders - Notícias de CyberSecurity para humanos.
<div>
<div data-element_type="widget" data-id="914a4f5" data-widget_type="shortcode.default">
<div>
<div>
<p><span><b><a href="https://www.redhotcyber.com/post/author/redazione/" target="_blank">Redazione RHC</a>:7 Outubro 2025 07:22</b></span></p>
<p>Uma vulnerabilidade foi descoberta no <strong>Motor de jogo Unity, que está presente desde 2017.</strong> O problema pode ser explorado para execução de código em <em>Android e escalonamento de privilégios no Windows</em> .</p>
<p><em>Os desenvolvedores da Valve já atualizaram o Steam e a Microsoft atualizou o Microsoft Defender,</em> aconselhar os usuários a desinstalar jogos vulneráveis até receberem patches.</p>
<h2>O bug de segurança</h2>
<p>Unity é um mecanismo de jogo multiplataforma e plataforma de desenvolvimento que fornece <em>ferramentas de renderização, física, animação e script para criar jogos para Windows, macOS, Android, iOS, consoles e web</em> . O Unity alimenta um grande número de jogos para dispositivos móveis, bem como vários projetos independentes para PC e consoles. A plataforma <em>também é usado fora da indústria de jogos para criar aplicativos 3D em tempo real.</em></p>
<p>A vulnerabilidade no Unity, identificada como <a href="https://www.redhotcyber.com/en/cve-details/?cve_id=CVE-2025-59489" target="_blank">CVE-2025-59489</a> (escore CVSS 8,4), afeta o <strong>Componente de tempo de execução.</strong> Ele permite <strong>carregamento inseguro e inclusão de arquivo local (LFI),</strong> o que poderia levar <strong>para execução de código e divulgação de informações.</strong></p>
<p>O problema foi descoberto em maio deste ano por um especialista em segurança da GMO Flatt, que atende pelo pseudônimo <strong>RyotaK</strong> . RyotaK relata que <em>o bug afeta todos os jogos baseados em Unity, começando com a versão 2017.1 e posterior.</em></p>
<p>Em <a href="https://flatt.tech/research/posts/arbitrary-code-execution-in-unity-runtime/" target="_blank">um relatório técnico</a> , RyotaK <a href="https://youtu.be/QEhqb4A_MwQ" target="_blank">Demonstra</a> Isso <em>O tratamento de intenções do Android pelo Unity permite que qualquer aplicativo malicioso instalado no mesmo dispositivo que um jogo vulnerável baixe e execute uma biblioteca nativa fornecida pelo invasor</em> . Isso leva à execução de código arbitrário com os privilégios do jogo vulnerável.</p>
<p>A vulnerabilidade permite <em>“execução de código local e acesso a informações confidenciais em dispositivos de usuário final que executam aplicativos baseados em Unity”,</em> Os desenvolvedores do Unity alertam em seus <a href="https://unity.com/security/sept-2025-01" target="_blank">Boletim de segurança</a> . <em>“A execução do código seria limitada ao nível de privilégio do aplicativo vulnerável e a divulgação de informações seria limitada às informações acessíveis ao aplicativo vulnerável.”</em></p>
<p>Observe que atualmente não há evidências de que essa vulnerabilidade tenha sido explorada ou que ela afete usuários ou clientes.</p>
<p>Os desenvolvedores já prepararam patches, inclusive para versões não suportadas (a partir da versão 2019.1). Versões mais antigas e sem suporte não receberão correções. As etapas resolvidas incluem atualizar o editor do Unity para a versão mais recente, recompilar e reimplantar o aplicativo e substituir o binário de runtime do Unity por uma versão corrigida.</p>
<h2>Reação</h2>
<p>Após o relatório da RyotaK, a Valve <a href="https://steamcommunity.com/groups/steamworks/announcements/detail/524229329545071275" target="_blank">lançou um</a> Atualização do cliente Steam que bloqueia esquemas de URI personalizados para evitar a exploração de <a href="https://www.redhotcyber.com/en/cve-details/?cve_id=CVE-2025-59489" target="_blank">CVE-2025-59489</a>. A Valve também recomenda que os desenvolvedores <em>reconstruir seus jogos usando uma versão segura do Unity o mais rápido possível ou implementar uma versão corrigida do UnityPlayer.dll</em> em compilações existentes.</p>
<p>A Microsoft também lançou seu próprio <a href="https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-59489" target="_blank">Boletim de segurança</a> , recomendando aos utilizadores que <em>Desinstale jogos vulneráveis até que versões atualizadas sejam lançadas que endereçam <a href="https://www.redhotcyber.com/en/cve-details/?cve_id=CVE-2025-59489" target="_blank">CVE-2025-59489</a>.</em> A empresa observa que os jogos populares afetados pela vulnerabilidade incluem <em>Hearthstone, The Elder Scrolls: Blades, Fallout Shelter, DOOM (2019), Wasteland 3 e Forza Customs.</em></p>
<p>Representantes da Obsidian dizem que foram forçados a temporariamente <a href="https://x.com/Obsidian/status/1974215697845923976" target="_blank">retirar</a> Certos jogos e produtos de lojas digitais ( <em>incluindo Grounded 2 Founders Edition, Avowed Premium Edition, Pillars of Eternity: Hero Edition, Pillars of Eternity II: Deadfire e Pentiment</em> ) até receberem <em>“atualizações necessárias para resolver o problema.”</em></p>
<div>
<div>
<div>
<div>
<p><b><span>Redação</span></b><br /><span>A equipe editorial da Red Hot Cyber é composta por um grupo de indivíduos e fontes anônimas que colaboram ativamente para fornecer informações e notícias antecipadas sobre segurança cibernética e computação em geral.</span></p>
<p><a href="https://www.redhotcyber.com/post/author/redazione/" target="_blank">Lista degli articoli</a></p>
</div>
</div>
</div>
</div>
</div>
</div>
</div></div>