Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Redazione RHC : 7 Ottobre 2025 07:16
È stata scoperta una vulnerabilità nel motore di gioco Unity, presente dal 2017. Il problema può essere sfruttato per l’esecuzione di codice su Android e per l’escalation dei privilegi su Windows.
Gli sviluppatori di Valve hanno già aggiornato Steam e Microsoft ha aggiornato Microsoft Defender, consigliando agli utenti di disinstallare i giochi vulnerabili fino a quando non riceveranno le patch.
Unity è un motore di gioco e una piattaforma di sviluppo multipiattaforma che fornisce strumenti di rendering, fisica, animazione e scripting per la creazione di giochi per Windows, macOS, Android, iOS, console e web. Unity è alla base di un gran numero di giochi per dispositivi mobili, nonché di numerosi progetti indipendenti per PC e console. La piattaforma viene utilizzata anche al di fuori dell’industria videoludica per creare applicazioni 3D in tempo reale.
 Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀
Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮.
Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
La vulnerabilità in Unity, identificata come CVE-2025-59489 (punteggio CVSS 8,4), interessa il componente Runtime. Consente il caricamento non sicuro e l’inclusione di file locali (LFI), che potrebbero portare all’esecuzione di codice e alla divulgazione di informazioni.
Il problema è stato scoperto a maggio di quest’anno da uno specialista di sicurezza di GMO Flatt, noto con lo pseudonimo RyotaK. RyotaK riferisce che il bug riguarda tutti i giochi basati su Unity, a partire dalla versione 2017.1 e successive.
In un rapporto tecnico , RyotaK dimostra che la gestione degli Android Intent da parte di Unity consente a qualsiasi app dannosa installata sullo stesso dispositivo di un gioco vulnerabile di scaricare ed eseguire una libreria nativa fornita dall’aggressore. Questo porta all’esecuzione di codice arbitrario con i privilegi del gioco vulnerabile.
La vulnerabilità consente “l’esecuzione di codice locale e l’accesso a informazioni sensibili sui dispositivi degli utenti finali che eseguono applicazioni basate su Unity”, avvertono gli sviluppatori di Unity nel loro bollettino sulla sicurezza . “L’esecuzione del codice sarebbe limitata al livello di privilegio dell’applicazione vulnerabile e la divulgazione delle informazioni sarebbe limitata alle informazioni accessibili all’applicazione vulnerabile”.
Si sottolinea che al momento non vi sono prove che questa vulnerabilità sia stata sfruttata o che possa avere un impatto sugli utenti o sui clienti.
Gli sviluppatori hanno già preparato delle patch, anche per le versioni non supportate (a partire dalla 2019.1). Le versioni precedenti, da tempo non supportate, non riceveranno correzioni. I passaggi per risolvere il problema includono l’aggiornamento dell’editor di Unity alla versione più recente, la successiva ricostruzione e ridistribuzione dell’applicazione, nonché la sostituzione del binario runtime di Unity con una versione patchata.
In seguito alla segnalazione di RyotaK, Valve ha rilasciato un aggiornamento del client Steam che blocca gli schemi URI personalizzati per impedire lo sfruttamento di CVE-2025-59489. Valve raccomanda inoltre agli sviluppatori di ricostruire i propri giochi utilizzando una versione sicura di Unity il prima possibile o di implementare una versione patchata di UnityPlayer.dll nelle build esistenti.
Microsoft ha anche pubblicato un proprio bollettino di sicurezza, raccomandando agli utenti di disinstallare i giochi vulnerabili fino al rilascio di versioni aggiornate che risolvano il problema CVE-2025-59489. L’azienda sottolinea che tra i giochi più popolari interessati dalla vulnerabilità figurano Hearthstone, The Elder Scrolls: Blades, Fallout Shelter, DOOM (2019), Wasteland 3 e Forza Customs.
I rappresentanti di Obsidian affermano di essere stati costretti a rimuovere temporaneamente alcuni giochi e prodotti dagli store digitali (tra cui Grounded 2 Founders Edition, Avowed Premium Edition, Pillars of Eternity: Hero Edition, Pillars of Eternity II: Deadfire e Pentiment) finché non riceveranno “gli aggiornamenti necessari per risolvere il problema”.
RedazioneMalgrado le difficoltà geopolitiche significative, il settore degli spyware mercenari resta una minaccia adattabile e persistente; in questo contesto, il noto fornitore Intellexa prosegue l’espansi...
Secondo Eurostat nel 2023 solo il 55% dei cittadini dell’Unione Europea tra i 16 e i 74 anni possedeva competenze digitali almeno di base, con forti differenze tra paesi: si va da valori intorno all...
Cloudflare ha registrato un’interruzione significativa nella mattina del 5 dicembre 2025, quando alle 08:47 UTC una parte della propria infrastruttura ha iniziato a generare errori interni. L’inci...
Una campagna sempre più aggressiva, che punta direttamente alle infrastrutture di accesso remoto, ha spinto gli autori delle minacce a tentare di sfruttare attivamente le vulnerabilità dei portali V...
Dietro molte delle applicazioni e servizi digitali che diamo per scontati ogni giorno si cela un gigante silenzioso: FreeBSD. Conosciuto soprattutto dagli addetti ai lavori, questo sistema operativo U...
