È stata scoperta una vulnerabilità nel motore di gioco Unity, presente dal 2017. Il problema può essere sfruttato per l’esecuzione di codice su Android e per l’escalation dei privilegi su Windows.
Gli sviluppatori di Valve hanno già aggiornato Steam e Microsoft ha aggiornato Microsoft Defender, consigliando agli utenti di disinstallare i giochi vulnerabili fino a quando non riceveranno le patch.
Unity è un motore di gioco e una piattaforma di sviluppo multipiattaforma che fornisce strumenti di rendering, fisica, animazione e scripting per la creazione di giochi per Windows, macOS, Android, iOS, console e web. Unity è alla base di un gran numero di giochi per dispositivi mobili, nonché di numerosi progetti indipendenti per PC e console. La piattaforma viene utilizzata anche al di fuori dell’industria videoludica per creare applicazioni 3D in tempo reale.
 Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected].
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
La vulnerabilità in Unity, identificata come CVE-2025-59489 (punteggio CVSS 8,4), interessa il componente Runtime. Consente il caricamento non sicuro e l’inclusione di file locali (LFI), che potrebbero portare all’esecuzione di codice e alla divulgazione di informazioni.
Il problema è stato scoperto a maggio di quest’anno da uno specialista di sicurezza di GMO Flatt, noto con lo pseudonimo RyotaK. RyotaK riferisce che il bug riguarda tutti i giochi basati su Unity, a partire dalla versione 2017.1 e successive.
In un rapporto tecnico , RyotaK dimostra che la gestione degli Android Intent da parte di Unity consente a qualsiasi app dannosa installata sullo stesso dispositivo di un gioco vulnerabile di scaricare ed eseguire una libreria nativa fornita dall’aggressore. Questo porta all’esecuzione di codice arbitrario con i privilegi del gioco vulnerabile.
La vulnerabilità consente “l’esecuzione di codice locale e l’accesso a informazioni sensibili sui dispositivi degli utenti finali che eseguono applicazioni basate su Unity”, avvertono gli sviluppatori di Unity nel loro bollettino sulla sicurezza . “L’esecuzione del codice sarebbe limitata al livello di privilegio dell’applicazione vulnerabile e la divulgazione delle informazioni sarebbe limitata alle informazioni accessibili all’applicazione vulnerabile”.
Si sottolinea che al momento non vi sono prove che questa vulnerabilità sia stata sfruttata o che possa avere un impatto sugli utenti o sui clienti.
Gli sviluppatori hanno già preparato delle patch, anche per le versioni non supportate (a partire dalla 2019.1). Le versioni precedenti, da tempo non supportate, non riceveranno correzioni. I passaggi per risolvere il problema includono l’aggiornamento dell’editor di Unity alla versione più recente, la successiva ricostruzione e ridistribuzione dell’applicazione, nonché la sostituzione del binario runtime di Unity con una versione patchata.
In seguito alla segnalazione di RyotaK, Valve ha rilasciato un aggiornamento del client Steam che blocca gli schemi URI personalizzati per impedire lo sfruttamento di CVE-2025-59489. Valve raccomanda inoltre agli sviluppatori di ricostruire i propri giochi utilizzando una versione sicura di Unity il prima possibile o di implementare una versione patchata di UnityPlayer.dll nelle build esistenti.
Microsoft ha anche pubblicato un proprio bollettino di sicurezza, raccomandando agli utenti di disinstallare i giochi vulnerabili fino al rilascio di versioni aggiornate che risolvano il problema CVE-2025-59489. L’azienda sottolinea che tra i giochi più popolari interessati dalla vulnerabilità figurano Hearthstone, The Elder Scrolls: Blades, Fallout Shelter, DOOM (2019), Wasteland 3 e Forza Customs.
I rappresentanti di Obsidian affermano di essere stati costretti a rimuovere temporaneamente alcuni giochi e prodotti dagli store digitali (tra cui Grounded 2 Founders Edition, Avowed Premium Edition, Pillars of Eternity: Hero Edition, Pillars of Eternity II: Deadfire e Pentiment) finché non riceveranno “gli aggiornamenti necessari per risolvere il problema”.
Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
Cultura
Cybercrime
Cybercrime
Cybercrime
Vulnerabilità