Redazione RHC : 7 octubre 2025 07:22
Se ha descubierto una vulnerabilidad en el motor de juego Unity, que está presente desde 2017. El problema se puede explotar para la ejecución de código en Android y la escalada de privilegios en Windows .
Los desarrolladores de Valve ya han actualizado Steam y Microsoft ha actualizado Microsoft Defender, aconsejando a los usuarios que desinstalen los juegos vulnerables hasta que reciban parches.
Unity es un motor de juegos multiplataforma y una plataforma de desarrollo que ofrece herramientas de renderizado, física, animación y scripting para crear juegos para Windows, macOS, Android, iOS, consolas y la web . Unity impulsa una gran cantidad de juegos móviles, así como numerosos proyectos independientes para PC y consolas. La plataforma también se utiliza fuera de la industria de los videojuegos para crear aplicaciones 3D en tiempo real.
La vulnerabilidad en Unity, identificada como CVE-2025-59489 (puntuación CVSS 8.4), afecta al componente Runtime. Permite la carga insegura y la inclusión local de archivos (LFI), lo que podría provocar la ejecución de código y la divulgación de información.
El problema fue descubierto en mayo de este año por un especialista en seguridad de GMO Flatt, conocido bajo el seudónimo RyotaK . RyotaK informa que el error afecta a todos los juegos basados en Unity, a partir de la versión 2017.1.
En un informe técnico , RyotaK demuestra que la gestión de las intenciones de Android por parte de Unity permite que cualquier aplicación maliciosa instalada en el mismo dispositivo que un juego vulnerable descargue y ejecute una biblioteca nativa proporcionada por el atacante . Esto provoca la ejecución de código arbitrario con los privilegios del juego vulnerable.
La vulnerabilidad permite la ejecución local de código y el acceso a información confidencial en dispositivos de usuario final que ejecutan aplicaciones basadas en Unity, advierten los desarrolladores de Unity en su boletín de seguridad . «La ejecución de código se limitaría al nivel de privilegio de la aplicación vulnerable, y la divulgación de información se limitaría a la información accesible a la aplicación vulnerable».
Tenga en cuenta que actualmente no hay evidencia de que esta vulnerabilidad haya sido explotada o de que afectará a los usuarios o clientes.
Los desarrolladores ya han preparado parches, incluso para versiones sin soporte (a partir de la 2019.1). Las versiones anteriores, que llevan mucho tiempo sin soporte, no recibirán correcciones. Los pasos resueltos incluyen actualizar el editor de Unity a la última versión, reconstruir y volver a implementar la aplicación, y reemplazar el binario del entorno de ejecución de Unity con una versión parcheada.
Tras el informe de RyotaK, Valve ha publicado una actualización del cliente de Steam que bloquea los esquemas de URI personalizados para evitar la explotación de CVE-2025-59489. Valve también recomienda a los desarrolladores que reconstruyan sus juegos con una versión segura de Unity lo antes posible o que implementen una versión parcheada de UnityPlayer.dll en las compilaciones existentes.
Microsoft también publicó su propio boletín de seguridad , recomendando a los usuarios desinstalar los juegos vulnerables hasta que se publiquen versiones actualizadas que solucionen el problema CVE-2025-59489. La compañía señala que entre los juegos populares afectados por la vulnerabilidad se incluyen Hearthstone, The Elder Scrolls: Blades, Fallout Shelter, DOOM (2019), Wasteland 3 y Forza Customs.
Los representantes de Obsidian dicen que se han visto obligados a eliminar temporalmente ciertos juegos y productos de las tiendas digitales ( incluidos Grounded 2 Founders Edition, Avowed Premium Edition, Pillars of Eternity: Hero Edition, Pillars of Eternity II: Deadfire y Pentiment ) hasta que reciban «actualizaciones necesarias para abordar el problema».
RedazioneGoogle se acerca a la presentación oficial de Gemini 3.0 , el nuevo modelo de inteligencia artificial que representa uno de los pasos más significativos en la estrategia de la compañía. Según inf...
La búsqueda de la inmortalidad es una obsesión generalizada en Silicon Valley. Asimismo, la idea de perfeccionar a los niños mediante la modificación genética es otra. Sam Altman, el hombre que p...
El quishing es una forma emergente de ciberataque que combina el phishing tradicional con el uso de códigos QR , herramientas ya conocidas por muchos. El término « quishing » es una combinación d...
Las operaciones psicológicas, comúnmente conocidas como PsyOps, constituyen un elemento significativo y a menudo poco comprendido de la estrategia militar y de seguridad . Estas operaciones implican...
En el mundo de la ciberseguridad, los cortafuegos constituyen la primera línea de defensa contra las ciberamenazas y los ciberataques. Diariamente, empresas y usuarios domésticos se exponen a riesgo...
