A fejlesztőket felszólították, hogy azonnal javítsák ki a játékokat, mivel 8 év után jelentős Unity biztonsági hibát fedeztek fel

Egy kritikus biztonsági rés, amely eddig tétlenül ült a Unity motorban 2017 óta rejtőzik, most lelepleződött. A felfedezés után a fejlesztők világszerte figyelmeztetést kaptak a fejlesztői platformtól, az értesítésekben pedig azonnal felszólították a fejlesztőket, hogy a felhasználók védelme érdekében fordítsák újra és tegyék közzé játékaikat.

A CVE-2025-59489 sebezhetőség a Unity Runtime-ban argumentum injektálással tetszőleges kódfuttatást tesz lehetővé, így a helyi hozzáféréssel rendelkező potenciális támadók rosszindulatú könyvtárakat tölthetnek be és növelhetik jogosultságaikat.

A sebezhetőséget 2025. június 4-én fedezte fel RyotaK, a GMO Flatt Security Inc. biztonsági kutatója. A biztonsági rés a Unity 2017.1-es és újabb verziójával készült játékokat és alkalmazásokat érinti a Android, Linux és macOS rendszereken.

A CVSS, azaz a Common Vulnerability Scoring System szerint, amely egy szoftveres sebezhetőség súlyosságának mérésére használt módszer, a Unity 2017.1 a 10-ből 8,4-es "magas" pontszámot kapott.

A Unity 2025. október 2-án hozta nyilvánosságra ezt a sebezhetőséget, sürgetve, hogy a javításokat még aznap ki fogják terjeszteni a 2019.1-től kezdődő Unity Editor verziókra, egy bináris foltozó eszközzel együtt, amellyel a 2017.1-ig visszanyúló buildek utólagos javíthatók.

A hivatalos biztonsági tájékoztatóban, a Unity kitartott amellett, hogy "nincs bizonyíték semmilyen kihasználásra vagy sebezhetőségre, és nem volt semmilyen hatása a felhasználókra vagy az ügyfelekre" A Unity továbbá kijelentette: "Proaktívan biztosítottunk olyan javításokat, amelyek a sebezhetőséget orvosolják, és már minden fejlesztő számára elérhetőek"

A Unity a következő záró megjegyzésekkel zárta a tanácsadói posztot: "A Unity elkötelezett a platformunk, ügyfeleink és a szélesebb közösség biztonsága és integritása iránt. Az átlátható kommunikáció központi eleme ennek az elkötelezettségnek, és szükség esetén továbbra is frissítéseket biztosítunk"

Ez a felfedezés tömeges hisztériát okozott az iparágban, mivel a nagy stúdiók és indie fejlesztők rohantak a címek frissítésével, ami ideiglenes boltok eltávolításához vezetett. Obsidian Entertainment október 3-án több Unity-alapú játékot, köztük a Pillars of Eternity II: Deadfire-t és a Pentimentet is visszavonta. Az Among Us fejlesztő Innersloth és a Marvel Snap's Second Dinner is megerősítette a mobilos címeikhez szükséges javításokat.

Hasonlóképpen, a PsychoFlux Entertainment a hírek szerint 11 Steam-játékot foltozott be, például a Gravity Castle-t és a Fingerdance-t, míg a Tenbris Studio a "Your Computer Might be At Risk" című horrorjátékát frissítette a Steamen.

Az epizód azt mutatja, hogy a meg nem talált sebezhetőségek még mindig leselkednek a régebbi kódokban. A Unity gyors reakciója azonban korlátozhatta a következményeket, amelyek egyébként egy olyan játékmotorra vonatkoznának, amely 750 000 játékot hajt meg, az AAA címektől az indie játékokig egyaránt.

Learning C# by Developing Games with Unity on Amazon vásárlás az Amazonon