Un bug critico di 8 anni nel motore di gioco Unity: rischi per Android e Windows

Redazione RHC : 7 Ottobre 2025 07:16

È stata scoperta una vulnerabilità nel motore di gioco Unity, presente dal 2017. Il problema può essere sfruttato per l’esecuzione di codice su Android e per l’escalation dei privilegi su Windows.

Gli sviluppatori di Valve hanno già aggiornato Steam e Microsoft ha aggiornato Microsoft Defender, consigliando agli utenti di disinstallare i giochi vulnerabili fino a quando non riceveranno le patch.

Il bug di sicurezza

Unity è un motore di gioco e una piattaforma di sviluppo multipiattaforma che fornisce strumenti di rendering, fisica, animazione e scripting per la creazione di giochi per Windows, macOS, Android, iOS, console e web. Unity è alla base di un gran numero di giochi per dispositivi mobili, nonché di numerosi progetti indipendenti per PC e console. La piattaforma viene utilizzata anche al di fuori dell’industria videoludica per creare applicazioni 3D in tempo reale.

Scarica Gratuitamente Byte The Silence, il fumetto sul Cyberbullismo di Red Hot Cyber "Il cyberbullismo è una delle minacce più insidiose e silenziose che colpiscono i nostri ragazzi. Non si tratta di semplici "bravate online", ma di veri e propri atti di violenza digitale, capaci di lasciare ferite profonde e spesso irreversibili nell’animo delle vittime.  Non possiamo più permetterci di chiudere gli occhi". Così si apre la prefazione del fumetto di Massimiliano Brolli, fondatore di Red Hot Cyber, un’opera che affronta con sensibilità e realismo uno dei temi più urgenti della nostra epoca.  Distribuito gratuitamente, questo fumetto nasce con l'obiettivo di sensibilizzare e informare. È uno strumento pensato per scuole, insegnanti, genitori e vittime, ma anche per chi, per qualsiasi ragione, si è ritrovato nel ruolo del bullo, affinché possa comprendere, riflettere e cambiare.  Con la speranza che venga letto, condiviso e discusso, Red Hot Cyber è orgogliosa di offrire un contributo concreto per costruire una cultura digitale più consapevole, empatica e sicura. Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected] Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

La vulnerabilità in Unity, identificata come CVE-2025-59489 (punteggio CVSS 8,4), interessa il componente Runtime. Consente il caricamento non sicuro e l’inclusione di file locali (LFI), che potrebbero portare all’esecuzione di codice e alla divulgazione di informazioni.

Il problema è stato scoperto a maggio di quest’anno da uno specialista di sicurezza di GMO Flatt, noto con lo pseudonimo RyotaK. RyotaK riferisce che il bug riguarda tutti i giochi basati su Unity, a partire dalla versione 2017.1 e successive.

In un rapporto tecnico , RyotaK dimostra che la gestione degli Android Intent da parte di Unity consente a qualsiasi app dannosa installata sullo stesso dispositivo di un gioco vulnerabile di scaricare ed eseguire una libreria nativa fornita dall’aggressore. Questo porta all’esecuzione di codice arbitrario con i privilegi del gioco vulnerabile.

La vulnerabilità consente “l’esecuzione di codice locale e l’accesso a informazioni sensibili sui dispositivi degli utenti finali che eseguono applicazioni basate su Unity”, avvertono gli sviluppatori di Unity nel loro bollettino sulla sicurezza . “L’esecuzione del codice sarebbe limitata al livello di privilegio dell’applicazione vulnerabile e la divulgazione delle informazioni sarebbe limitata alle informazioni accessibili all’applicazione vulnerabile”.

Si sottolinea che al momento non vi sono prove che questa vulnerabilità sia stata sfruttata o che possa avere un impatto sugli utenti o sui clienti.

Gli sviluppatori hanno già preparato delle patch, anche per le versioni non supportate (a partire dalla 2019.1). Le versioni precedenti, da tempo non supportate, non riceveranno correzioni. I passaggi per risolvere il problema includono l’aggiornamento dell’editor di Unity alla versione più recente, la successiva ricostruzione e ridistribuzione dell’applicazione, nonché la sostituzione del binario runtime di Unity con una versione patchata.

Reazione

In seguito alla segnalazione di RyotaK, Valve ha rilasciato un aggiornamento del client Steam che blocca gli schemi URI personalizzati per impedire lo sfruttamento di CVE-2025-59489. Valve raccomanda inoltre agli sviluppatori di ricostruire i propri giochi utilizzando una versione sicura di Unity il prima possibile o di implementare una versione patchata di UnityPlayer.dll nelle build esistenti.

Microsoft ha anche pubblicato un proprio bollettino di sicurezza, raccomandando agli utenti di disinstallare i giochi vulnerabili fino al rilascio di versioni aggiornate che risolvano il problema CVE-2025-59489. L’azienda sottolinea che tra i giochi più popolari interessati dalla vulnerabilità figurano Hearthstone, The Elder Scrolls: Blades, Fallout Shelter, DOOM (2019), Wasteland 3 e Forza Customs.

I rappresentanti di Obsidian affermano di essere stati costretti a rimuovere temporaneamente alcuni giochi e prodotti dagli store digitali (tra cui Grounded 2 Founders Edition, Avowed Premium Edition, Pillars of Eternity: Hero Edition, Pillars of Eternity II: Deadfire e Pentiment) finché non riceveranno “gli aggiornamenti necessari per risolvere il problema”.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli