Запустил шутер — получил рут: уязвимость в Unity затрагивает игры с 2017 года
NewsMakerКак хакеры могут "прокачать" вашу любимую игру вирусом.
Исследователь RyotaK из компании GMA Flatt Security обнаружил опасную уязвимость в игровом движке Unity — ошибка получила идентификатор CVE-2025-59489 и позволяет приложению на том же устройстве подсовывать Unity-играм дополнительные параметры командной строки, что даёт шанс загрузить вместе с игрой вредоносный код. Исследование проводилось на Android-устройствах, однако специалист указывает, что уязвимость затрагивает сборки для других платформ и в узких сценариях теоретически может эксплуатироваться через браузер или удалённо.
Проблема находит корни в поведении Unity Editor — уязвимые сборки создавались всеми версиями редактора, начиная с 2017.1, то есть практически все игры, выпущенные за последние восемь лет, потенциально уязвимы. Для предотвращения атак разработчикам необходимо перекомпилировать проекты в обновлённой версии редактора и выпустить пользователям обновлённые сборки игры, которые устраняют возможность подмены параметров запуска. Unity уже выпустила исправление, но масштаб инсталляций движка делает процесс массового закрытия дыр длительным.
Реакция платформ оказалась оперативной — Valve ограничила запуск Unity-игр через Steam при наличии определённых параметров командной строки, используемых злоумышленниками, а Microsoft предупредила, что игры для Windows находятся в зоне повышенного риска и рекомендовала удалить уязвимые приложения до получения корректных обновлений. Представители платформ подчеркнули, что исполняемые игры для Xbox не затронуты, но Windows-версиям и клиентам на ПК следует действовать осторожно. За выходные часть разработчиков уже выпускает релизы с исправлениями, однако большинство проектов всё ещё требует перекомпиляции и повторного распространения.
Эксплуатация признаётся относительно простой: злоумышленнику с низкими привилегиями достаточно запустить на той же системе приложение, которое добавит параметры запуска и заставит Unity-игру подгрузить вредоносный модуль. Комбинация простоты эксплуатации и повсеместного распространения Unity формирует крупную поверхность атаки — от инди-проектов до популярных ААА-титулов. Эксперты безопасности предупреждают, что в ближайшее время возможны случаи активной эксплуатации, поэтому владельцам ПК рекомендуется следить за обновлениями от разработчиков и политиками площадок распространения игр.
Исследователь RyotaK из компании GMA Flatt Security обнаружил опасную уязвимость в игровом движке Unity — ошибка получила идентификатор CVE-2025-59489 и позволяет приложению на том же устройстве подсовывать Unity-играм дополнительные параметры командной строки, что даёт шанс загрузить вместе с игрой вредоносный код. Исследование проводилось на Android-устройствах, однако специалист указывает, что уязвимость затрагивает сборки для других платформ и в узких сценариях теоретически может эксплуатироваться через браузер или удалённо.
Проблема находит корни в поведении Unity Editor — уязвимые сборки создавались всеми версиями редактора, начиная с 2017.1, то есть практически все игры, выпущенные за последние восемь лет, потенциально уязвимы. Для предотвращения атак разработчикам необходимо перекомпилировать проекты в обновлённой версии редактора и выпустить пользователям обновлённые сборки игры, которые устраняют возможность подмены параметров запуска. Unity уже выпустила исправление, но масштаб инсталляций движка делает процесс массового закрытия дыр длительным.
Реакция платформ оказалась оперативной — Valve ограничила запуск Unity-игр через Steam при наличии определённых параметров командной строки, используемых злоумышленниками, а Microsoft предупредила, что игры для Windows находятся в зоне повышенного риска и рекомендовала удалить уязвимые приложения до получения корректных обновлений. Представители платформ подчеркнули, что исполняемые игры для Xbox не затронуты, но Windows-версиям и клиентам на ПК следует действовать осторожно. За выходные часть разработчиков уже выпускает релизы с исправлениями, однако большинство проектов всё ещё требует перекомпиляции и повторного распространения.
Эксплуатация признаётся относительно простой: злоумышленнику с низкими привилегиями достаточно запустить на той же системе приложение, которое добавит параметры запуска и заставит Unity-игру подгрузить вредоносный модуль. Комбинация простоты эксплуатации и повсеместного распространения Unity формирует крупную поверхность атаки — от инди-проектов до популярных ААА-титулов. Эксперты безопасности предупреждают, что в ближайшее время возможны случаи активной эксплуатации, поэтому владельцам ПК рекомендуется следить за обновлениями от разработчиков и политиками площадок распространения игр.