Разработчиков призывают немедленно исправлять игры, так как серьезный дефект в системе безопасности Unity обнаружен спустя 8 лет

Критическая уязвимость в системе безопасности, которая бездействовала в движке Unity с 2017 года, теперь раскрыта движке с 2017 года, теперь раскрыта. После ее обнаружения разработчики по всему миру получили предупреждение от платформы разработки, причем уведомления сразу же призвали разработчиков перекомпилировать и переиздать свои игры, чтобы защитить пользователей.

Уязвимость CVE-2025-59489 позволяет выполнить произвольный код через инъекцию аргументов в Unity Runtime, что дает возможность потенциальным злоумышленникам с локальным доступом загружать вредоносные библиотеки и повышать свои привилегии.

Уязвимость была обнаружена 4 июня 2025 года исследователем безопасности RyotaK из GMO Flatt Security Inc. Уязвимость затрагивает игры и приложения, созданные с помощью Unity версии 2017.1 и более поздних версий на Android, Linux и macOS.

Согласно CVSS (Common Vulnerability Scoring System) - методу, используемому для измерения серьезности уязвимости программного обеспечения, Unity 2017.1 получает "высокий" балл - 8,4 из 10.

Unity раскрыла информацию об этой уязвимости 2 октября 2025 года, сообщив, что исправления будут выложены в тот же день для версий редактора Unity, начиная с 2019.1, а также будет выпущен бинарный патчер для обновления сборок, начиная с 2017.1.

В своем официальном совете по безопасностиunity заявила: "Нет никаких доказательств эксплуатации или уязвимости, и это никак не повлияло на пользователей или клиентов" Далее Unity заявила: "Мы проактивно предоставили исправления, устраняющие уязвимость, и они уже доступны всем разработчикам"

Unity закончила сообщение с рекомендациями следующими заключительными словами: "Unity заботится о безопасности и целостности нашей платформы, наших клиентов и всего сообщества. Прозрачная коммуникация является центральным элементом этого обязательства, и мы будем продолжать предоставлять обновления по мере необходимости"

Это открытие вызвало массовую истерию в индустрии: крупные студии и инди-разработчики поспешили обновить игры, что привело к временному удалению игр из магазинов. Obsidian Entertainment удалила несколько игр, созданных на Unity, включая Pillars of Eternity II: Deadfire и Pentiment, 3 октября. Разработчик Among Us компания Innersloth и Marvel Snap's Second Dinner также подтвердили наличие патчей для своих мобильных игр.

Аналогичным образом, PsychoFlux Entertainment, как сообщается, исправила 11 игр в Steam, таких как Gravity Castle и Fingerdance, а студия Tenbris обновила свою игру ужасов "Ваш компьютер может быть в опасности" в Steam.

Этот эпизод показывает, что необнаруженные уязвимости все еще таятся в устаревшем коде. Однако быстрая реакция Unity, возможно, ограничила последствия, которые в противном случае могли бы обрушиться на игровой движок, на котором работают около 750 000 игр, от AAA до инди.

Купить Learning C# by Developing Games with Unity на Amazon