Microsoft e Valve hanno avvertito giocatori e sviluppatori della presenza di una vulnerabilità nelle versioni di Unity a partire dalla 2017.1 per Windows, macOS, Linux e Android. Potrebbe essere sfruttata per eseguire codice arbitrario, rubare i dati e ottenere privilegi elevati. Le due aziende hanno spiegato come limitare i rischi.
Descrizione del bug e soluzione
La vulnerabilità CVE-2025-59489 è stata scoperta dai ricercatori di GMO Flatt Security. È presente nel componente Runtime usato dallo Unity Editor (versione 2017.1 e successive). Il bug ha origine dagli argomenti della riga di comando che consentono alle applicazioni Unity di caricare ed eseguire estensioni native e gestite.
Tramite questi argomenti è possibile caricare librerie, eseguire codice arbitrario e accedere a dati sensibili sul dispositivo. I ricercatori hanno scoperto la vulnerabilità su Android, ma è presente anche su Windows, macOS e Linux. Al momento non ci sono exploit in circolazione.
Gli sviluppatori devono effettuare il rebuild dell’applicazione o del gioco utilizzando Unity Editor 2019.1 o versioni successive. In alternativa possono applicare la patch (nuova versione del file UnityPlayer.dll) con il tool Unity Application Patcher alle build esistenti.
Valve ha rilasciato una nuova versione del client Steam che blocca l’avvio dei giochi tramite schema URI custom (steam://).
Microsoft ha invece consigliato di disinstallare app e giochi sviluppati con le vecchie versioni di Unity Editor finché non verranno rilasciati gli aggiornamenti. L’azienda di Redmond ha distribuito un update per Defender che rileva eventuali exploit.
La vulnerabilità non è presente in giochi e app per iOS, console Xbox, HoloLens e Xbox Cloud Gaming.
