06.10.2025
1 хв
602
У рушії Unity Runtime виявлено критичну вразливість CVE-2025-59489, яка дозволяє зловмисникам виконувати довільний код через механізм аргументної ін’єкції. Проблема зачіпає Android, Windows, macOS і Linux, а також будь-які застосунки, зібрані у вразливих версіях Unity Editor.
Суть уразливості полягає в тому, що Unity Runtime некоректно обробляє параметри командного рядка. Через це хакер може вказати шкідливий шлях до бібліотеки та змусити програму завантажити код із небезпечного джерела.
Цей недолік дозволяє:
виконати довільний код на пристрої користувача;
отримати доступ до конфіденційних файлів або облікових даних;
встановити бекдор у систему чи змінити поведінку гри або програми.
Unity підтвердила, що оновлення самого Unity Editor не вирішує проблему, адже уразливий код уже вбудований у зібрані додатки. Для повного усунення ризику необхідно перебудувати і повторно випустити всі проєкти на виправленій версії рушія. Вразливість виявив дослідник RyotaK із GMO Flatt Security у червні 2025 року. Після публікації звіту Flatt Tech компанія Unity оперативно випустила офіційне повідомлення й оновлення безпеки (Unity Security Bulletin 2025-10-02).
На платформі Steam розробники вже отримали попередження від Valve із закликом негайно перевірити свої збірки та відключити небезпечні аргументи запуску. Геймери у спільноті відзначили швидку реакцію Valve, адже такі інциденти потенційно могли вплинути навіть на великі релізи.
Інцидент із Unity показує, наскільки важливо розробникам не лише оновлювати рушій, а й контролювати процес збірки й повторного розгортання проєктів. Користувачам варто завантажувати ігри лише з офіційних джерел, а студіям — проводити незалежні аудити безпеки.
Ця історія — ще одне нагадування, що навіть найпопулярніші інструменти можуть містити небезпечні діри, які зловмисники здатні використати для масштабних атак.
