Redazione RHC : 7 octubre 2025 07:22
Se ha descubierto una vulnerabilidad en el motor de juego Unity, que está presente desde 2017. El problema se puede explotar para la ejecución de código en Android y la escalada de privilegios en Windows .
Los desarrolladores de Valve ya han actualizado Steam y Microsoft ha actualizado Microsoft Defender, aconsejando a los usuarios que desinstalen los juegos vulnerables hasta que reciban parches.
Unity es un motor de juegos multiplataforma y una plataforma de desarrollo que ofrece herramientas de renderizado, física, animación y scripting para crear juegos para Windows, macOS, Android, iOS, consolas y la web . Unity impulsa una gran cantidad de juegos móviles, así como numerosos proyectos independientes para PC y consolas. La plataforma también se utiliza fuera de la industria de los videojuegos para crear aplicaciones 3D en tiempo real.
La vulnerabilidad en Unity, identificada como CVE-2025-59489 (puntuación CVSS 8.4), afecta al componente Runtime. Permite la carga insegura y la inclusión local de archivos (LFI), lo que podría provocar la ejecución de código y la divulgación de información.
El problema fue descubierto en mayo de este año por un especialista en seguridad de GMO Flatt, conocido bajo el seudónimo RyotaK . RyotaK informa que el error afecta a todos los juegos basados en Unity, a partir de la versión 2017.1.
En un informe técnico , RyotaK demuestra que la gestión de las intenciones de Android por parte de Unity permite que cualquier aplicación maliciosa instalada en el mismo dispositivo que un juego vulnerable descargue y ejecute una biblioteca nativa proporcionada por el atacante . Esto provoca la ejecución de código arbitrario con los privilegios del juego vulnerable.
La vulnerabilidad permite la ejecución local de código y el acceso a información confidencial en dispositivos de usuario final que ejecutan aplicaciones basadas en Unity, advierten los desarrolladores de Unity en su boletín de seguridad . «La ejecución de código se limitaría al nivel de privilegio de la aplicación vulnerable, y la divulgación de información se limitaría a la información accesible a la aplicación vulnerable».
Tenga en cuenta que actualmente no hay evidencia de que esta vulnerabilidad haya sido explotada o de que afectará a los usuarios o clientes.
Los desarrolladores ya han preparado parches, incluso para versiones sin soporte (a partir de la 2019.1). Las versiones anteriores, que llevan mucho tiempo sin soporte, no recibirán correcciones. Los pasos resueltos incluyen actualizar el editor de Unity a la última versión, reconstruir y volver a implementar la aplicación, y reemplazar el binario del entorno de ejecución de Unity con una versión parcheada.
Tras el informe de RyotaK, Valve ha publicado una actualización del cliente de Steam que bloquea los esquemas de URI personalizados para evitar la explotación de CVE-2025-59489. Valve también recomienda a los desarrolladores que reconstruyan sus juegos con una versión segura de Unity lo antes posible o que implementen una versión parcheada de UnityPlayer.dll en las compilaciones existentes.
Microsoft también publicó su propio boletín de seguridad , recomendando a los usuarios desinstalar los juegos vulnerables hasta que se publiquen versiones actualizadas que solucionen el problema CVE-2025-59489. La compañía señala que entre los juegos populares afectados por la vulnerabilidad se incluyen Hearthstone, The Elder Scrolls: Blades, Fallout Shelter, DOOM (2019), Wasteland 3 y Forza Customs.
Los representantes de Obsidian dicen que se han visto obligados a eliminar temporalmente ciertos juegos y productos de las tiendas digitales ( incluidos Grounded 2 Founders Edition, Avowed Premium Edition, Pillars of Eternity: Hero Edition, Pillars of Eternity II: Deadfire y Pentiment ) hasta que reciban «actualizaciones necesarias para abordar el problema».
RedazioneUna falla crítica de 13 años de antigüedad, conocida como RediShell , en Redis permite la ejecución remota de código (RCE) , lo que brinda a los atacantes la capacidad de obtener control total de...
Se ha dicho muy poco sobre este acontecimiento, que personalmente considero de importancia estratégica y signo de un cambio importante en la gestión de las vulnerabilidades indocumentadas en Italia....
Investigadores de Trend Micro han detectado una campaña de malware a gran escala dirigida a usuarios de Brasil. Se distribuye a través de la versión de escritorio de WhatsApp y se caracteriza por u...
Oracle ha publicado un aviso de seguridad sobre una vulnerabilidad crítica identificada como CVE-2025-61882 en Oracle E-Business Suite . Esta falla puede explotarse remotamente sin autenticación , l...
Google ha presentado una nueva herramienta de IA para Drive para escritorio. Se dice que el modelo se ha entrenado con millones de muestras reales de ransomware y puede suspender la sincronización pa...
