Un bug critico di 8 anni nel motore di gioco Unity: rischi per Android e Windows

È stata scoperta una vulnerabilità nel motore di gioco Unity, presente dal 2017. Il problema può essere sfruttato per l’esecuzione di codice su Android e per l’escalation dei privilegi su Windows.

Gli sviluppatori di Valve hanno già aggiornato Steam e Microsoft ha aggiornato Microsoft Defender, consigliando agli utenti di disinstallare i giochi vulnerabili fino a quando non riceveranno le patch.

Il bug di sicurezza

Unity è un motore di gioco e una piattaforma di sviluppo multipiattaforma che fornisce strumenti di rendering, fisica, animazione e scripting per la creazione di giochi per Windows, macOS, Android, iOS, console e web. Unity è alla base di un gran numero di giochi per dispositivi mobili, nonché di numerosi progetti indipendenti per PC e console. La piattaforma viene utilizzata anche al di fuori dell’industria videoludica per creare applicazioni 3D in tempo reale.

Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀 Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮. Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

La vulnerabilità in Unity, identificata come CVE-2025-59489 (punteggio CVSS 8,4), interessa il componente Runtime. Consente il caricamento non sicuro e l’inclusione di file locali (LFI), che potrebbero portare all’esecuzione di codice e alla divulgazione di informazioni.

Il problema è stato scoperto a maggio di quest’anno da uno specialista di sicurezza di GMO Flatt, noto con lo pseudonimo RyotaK. RyotaK riferisce che il bug riguarda tutti i giochi basati su Unity, a partire dalla versione 2017.1 e successive.

In un rapporto tecnico , RyotaK dimostra che la gestione degli Android Intent da parte di Unity consente a qualsiasi app dannosa installata sullo stesso dispositivo di un gioco vulnerabile di scaricare ed eseguire una libreria nativa fornita dall’aggressore. Questo porta all’esecuzione di codice arbitrario con i privilegi del gioco vulnerabile.

La vulnerabilità consente “l’esecuzione di codice locale e l’accesso a informazioni sensibili sui dispositivi degli utenti finali che eseguono applicazioni basate su Unity”, avvertono gli sviluppatori di Unity nel loro bollettino sulla sicurezza . “L’esecuzione del codice sarebbe limitata al livello di privilegio dell’applicazione vulnerabile e la divulgazione delle informazioni sarebbe limitata alle informazioni accessibili all’applicazione vulnerabile”.

Si sottolinea che al momento non vi sono prove che questa vulnerabilità sia stata sfruttata o che possa avere un impatto sugli utenti o sui clienti.

Gli sviluppatori hanno già preparato delle patch, anche per le versioni non supportate (a partire dalla 2019.1). Le versioni precedenti, da tempo non supportate, non riceveranno correzioni. I passaggi per risolvere il problema includono l’aggiornamento dell’editor di Unity alla versione più recente, la successiva ricostruzione e ridistribuzione dell’applicazione, nonché la sostituzione del binario runtime di Unity con una versione patchata.

Reazione

In seguito alla segnalazione di RyotaK, Valve ha rilasciato un aggiornamento del client Steam che blocca gli schemi URI personalizzati per impedire lo sfruttamento di CVE-2025-59489. Valve raccomanda inoltre agli sviluppatori di ricostruire i propri giochi utilizzando una versione sicura di Unity il prima possibile o di implementare una versione patchata di UnityPlayer.dll nelle build esistenti.

Microsoft ha anche pubblicato un proprio bollettino di sicurezza, raccomandando agli utenti di disinstallare i giochi vulnerabili fino al rilascio di versioni aggiornate che risolvano il problema CVE-2025-59489. L’azienda sottolinea che tra i giochi più popolari interessati dalla vulnerabilità figurano Hearthstone, The Elder Scrolls: Blades, Fallout Shelter, DOOM (2019), Wasteland 3 e Forza Customs.

I rappresentanti di Obsidian affermano di essere stati costretti a rimuovere temporaneamente alcuni giochi e prodotti dagli store digitali (tra cui Grounded 2 Founders Edition, Avowed Premium Edition, Pillars of Eternity: Hero Edition, Pillars of Eternity II: Deadfire e Pentiment) finché non riceveranno “gli aggiornamenti necessari per risolvere il problema”.

Ti è piaciutno questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.
Aree di competenza: