Производитель мультиплатформенного игрового движка Unity предупредил о найденной и уже исправленной крайне опасной уязвимости безопасности, которая скрывалась от разработчика без малого девять лет.
Брешь была найдена 4 июня текущего года и исправлена в обновлении от 2 октября. Unity призывает создателей игр и приложений на Unity 2017.1 (датируется январём 2017 года) и далее срочно обновить свою продукцию.
Уязвимость CVE-2025-59489 наблюдалась на операционных системах Windows, Linux, macOS и Android. Unity присвоила ей высокий уровень опасности (8.4 в соответствии с рейтингом CVSS).
CVE-2025-59489 означала, что игроки были уязвимы к небезопасной загрузке файлов и PHP-инъекциям в зависимости от ОС. Это открывало доступ к локальному исполнению кода и получению конфиденциальной информации пользователя.
Как уверяет Unity, «нет никаких доказательств применения уязвимости и её влияния на пользователей или клиентов», хотя брешь наблюдалась в играх и приложениях на движке более восьми лет.
Для избавления от уязвимости Unity рекомендует перекомпилировать и перевыпустить приложения или обновить их с помощью особого инструмента (только для Windows, macOS и Android). Steam также ввёл дополнительную меру защиты.
Unity заверила, что обновление «вряд ли сломает большинство игр», и призывает разработчиков доносить до пользователей важность поддержания их устройств и программного обеспечения в актуальном состоянии.
Источник: