Redazione RHC : 7 octubre 2025 07:22
Se ha descubierto una vulnerabilidad en el motor de juego Unity, que está presente desde 2017. El problema se puede explotar para la ejecución de código en Android y la escalada de privilegios en Windows .
Los desarrolladores de Valve ya han actualizado Steam y Microsoft ha actualizado Microsoft Defender, aconsejando a los usuarios que desinstalen los juegos vulnerables hasta que reciban parches.
Unity es un motor de juegos multiplataforma y una plataforma de desarrollo que ofrece herramientas de renderizado, física, animación y scripting para crear juegos para Windows, macOS, Android, iOS, consolas y la web . Unity impulsa una gran cantidad de juegos móviles, así como numerosos proyectos independientes para PC y consolas. La plataforma también se utiliza fuera de la industria de los videojuegos para crear aplicaciones 3D en tiempo real.
La vulnerabilidad en Unity, identificada como CVE-2025-59489 (puntuación CVSS 8.4), afecta al componente Runtime. Permite la carga insegura y la inclusión local de archivos (LFI), lo que podría provocar la ejecución de código y la divulgación de información.
El problema fue descubierto en mayo de este año por un especialista en seguridad de GMO Flatt, conocido bajo el seudónimo RyotaK . RyotaK informa que el error afecta a todos los juegos basados en Unity, a partir de la versión 2017.1.
En un informe técnico , RyotaK demuestra que la gestión de las intenciones de Android por parte de Unity permite que cualquier aplicación maliciosa instalada en el mismo dispositivo que un juego vulnerable descargue y ejecute una biblioteca nativa proporcionada por el atacante . Esto provoca la ejecución de código arbitrario con los privilegios del juego vulnerable.
La vulnerabilidad permite la ejecución local de código y el acceso a información confidencial en dispositivos de usuario final que ejecutan aplicaciones basadas en Unity, advierten los desarrolladores de Unity en su boletín de seguridad . «La ejecución de código se limitaría al nivel de privilegio de la aplicación vulnerable, y la divulgación de información se limitaría a la información accesible a la aplicación vulnerable».
Tenga en cuenta que actualmente no hay evidencia de que esta vulnerabilidad haya sido explotada o de que afectará a los usuarios o clientes.
Los desarrolladores ya han preparado parches, incluso para versiones sin soporte (a partir de la 2019.1). Las versiones anteriores, que llevan mucho tiempo sin soporte, no recibirán correcciones. Los pasos resueltos incluyen actualizar el editor de Unity a la última versión, reconstruir y volver a implementar la aplicación, y reemplazar el binario del entorno de ejecución de Unity con una versión parcheada.
Tras el informe de RyotaK, Valve ha publicado una actualización del cliente de Steam que bloquea los esquemas de URI personalizados para evitar la explotación de CVE-2025-59489. Valve también recomienda a los desarrolladores que reconstruyan sus juegos con una versión segura de Unity lo antes posible o que implementen una versión parcheada de UnityPlayer.dll en las compilaciones existentes.
Microsoft también publicó su propio boletín de seguridad , recomendando a los usuarios desinstalar los juegos vulnerables hasta que se publiquen versiones actualizadas que solucionen el problema CVE-2025-59489. La compañía señala que entre los juegos populares afectados por la vulnerabilidad se incluyen Hearthstone, The Elder Scrolls: Blades, Fallout Shelter, DOOM (2019), Wasteland 3 y Forza Customs.
Los representantes de Obsidian dicen que se han visto obligados a eliminar temporalmente ciertos juegos y productos de las tiendas digitales ( incluidos Grounded 2 Founders Edition, Avowed Premium Edition, Pillars of Eternity: Hero Edition, Pillars of Eternity II: Deadfire y Pentiment ) hasta que reciban «actualizaciones necesarias para abordar el problema».
RedazioneEl 27 de octubre se celebró en el Ministerio de Asuntos Exteriores en Beijing el Foro del Salón Azul sobre el tema «Mejorar la gobernanza global y construir una comunidad con un futuro compartido p...
Hackers del gobierno vulneraron una planta de fabricación de componentes para armas nucleares en Estados Unidos explotando vulnerabilidades de Microsoft SharePoint. El incidente afectó al Campus de ...
En los últimos días, algunos usuarios han recibido una notificación diciendo que sus dispositivos Gemini Advanced han sido «actualizados del modelo de la generación anterior al 3.0 Pro, el modelo...
La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) ha emitido una alerta global con respecto a la explotación activa de una falla crítica de ejecución remota de c�...
El lunes 20 de octubre, el Canal 4 transmitió un documental completo presentado por un presentador de televisión creativo impulsado completamente por inteligencia artificial. » No soy real. Por pri...
