Un bug critico di 8 anni nel motore di gioco Unity: rischi per Android e Windows

È stata scoperta una vulnerabilità nel motore di gioco Unity, presente dal 2017. Il problema può essere sfruttato per l’esecuzione di codice su Android e per l’escalation dei privilegi su Windows.

Gli sviluppatori di Valve hanno già aggiornato Steam e Microsoft ha aggiornato Microsoft Defender, consigliando agli utenti di disinstallare i giochi vulnerabili fino a quando non riceveranno le patch.

Il bug di sicurezza

Unity è un motore di gioco e una piattaforma di sviluppo multipiattaforma che fornisce strumenti di rendering, fisica, animazione e scripting per la creazione di giochi per Windows, macOS, Android, iOS, console e web. Unity è alla base di un gran numero di giochi per dispositivi mobili, nonché di numerosi progetti indipendenti per PC e console. La piattaforma viene utilizzata anche al di fuori dell’industria videoludica per creare applicazioni 3D in tempo reale.

La vulnerabilità in Unity, identificata come CVE-2025-59489 (punteggio CVSS 8,4), interessa il componente Runtime. Consente il caricamento non sicuro e l’inclusione di file locali (LFI), che potrebbero portare all’esecuzione di codice e alla divulgazione di informazioni.

Il problema è stato scoperto a maggio di quest’anno da uno specialista di sicurezza di GMO Flatt, noto con lo pseudonimo RyotaK. RyotaK riferisce che il bug riguarda tutti i giochi basati su Unity, a partire dalla versione 2017.1 e successive.

In un rapporto tecnico , RyotaK dimostra che la gestione degli Android Intent da parte di Unity consente a qualsiasi app dannosa installata sullo stesso dispositivo di un gioco vulnerabile di scaricare ed eseguire una libreria nativa fornita dall’aggressore. Questo porta all’esecuzione di codice arbitrario con i privilegi del gioco vulnerabile.

La vulnerabilità consente “l’esecuzione di codice locale e l’accesso a informazioni sensibili sui dispositivi degli utenti finali che eseguono applicazioni basate su Unity”, avvertono gli sviluppatori di Unity nel loro bollettino sulla sicurezza . “L’esecuzione del codice sarebbe limitata al livello di privilegio dell’applicazione vulnerabile e la divulgazione delle informazioni sarebbe limitata alle informazioni accessibili all’applicazione vulnerabile”.

Si sottolinea che al momento non vi sono prove che questa vulnerabilità sia stata sfruttata o che possa avere un impatto sugli utenti o sui clienti.

Gli sviluppatori hanno già preparato delle patch, anche per le versioni non supportate (a partire dalla 2019.1). Le versioni precedenti, da tempo non supportate, non riceveranno correzioni. I passaggi per risolvere il problema includono l’aggiornamento dell’editor di Unity alla versione più recente, la successiva ricostruzione e ridistribuzione dell’applicazione, nonché la sostituzione del binario runtime di Unity con una versione patchata.

Reazione

In seguito alla segnalazione di RyotaK, Valve ha rilasciato un aggiornamento del client Steam che blocca gli schemi URI personalizzati per impedire lo sfruttamento di CVE-2025-59489. Valve raccomanda inoltre agli sviluppatori di ricostruire i propri giochi utilizzando una versione sicura di Unity il prima possibile o di implementare una versione patchata di UnityPlayer.dll nelle build esistenti.

Microsoft ha anche pubblicato un proprio bollettino di sicurezza, raccomandando agli utenti di disinstallare i giochi vulnerabili fino al rilascio di versioni aggiornate che risolvano il problema CVE-2025-59489. L’azienda sottolinea che tra i giochi più popolari interessati dalla vulnerabilità figurano Hearthstone, The Elder Scrolls: Blades, Fallout Shelter, DOOM (2019), Wasteland 3 e Forza Customs.

I rappresentanti di Obsidian affermano di essere stati costretti a rimuovere temporaneamente alcuni giochi e prodotti dagli store digitali (tra cui Grounded 2 Founders Edition, Avowed Premium Edition, Pillars of Eternity: Hero Edition, Pillars of Eternity II: Deadfire e Pentiment) finché non riceveranno “gli aggiornamenti necessari per risolvere il problema”.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Agostino Pellegrino

E’ un libero professionista, insegnante e perito di informatica Forense, Cyber Security ed Ethical Hacking e Network Management. Ha collaborato con importanti istituti di formazione a livello internazionale e ha esercitato teaching e tutorship in tecniche avanzate di Offensive Security per la NATO ottenendo importanti riconoscimenti dal Governo degli Stati Uniti. Il suo motto è “Studio. Sempre”.

Aree di competenza: Cybersecurity architecture, Threat intelligence, Digital forensics, Offensive security, Incident response & SOAR, Malware analysis, Compliance & frameworks