Unity раскрыла давнюю уязвимость и просит разработчиков срочно обновить игры

Unity объявила о серьёзной уязвимости безопасности, которая затрагивает проекты, созданные на версиях движка начиная с Unity 2017.1 и выпущенные для Windows, Android и macOS (а также Linux, по данным профильной прессы). Компания призвала разработчиков принять немедленные меры и выпустить обновления. При этом Unity подчёркивает: признаков эксплуатации уязвимости нет, на пользователей и клиентов влияния не зафиксировано. Исправления уже доступны, партнёры по платформам включили дополнительные защиты.

Уязвимость выявили в июне, а устранили в октябре.

Что случилось

По данным Unity и СМИ, обнаруженная проблема позволяет злоумышленнику при определённых условиях выполнить код на машине пользователя и получить доступ к данным. Unity выпустила патчи и инструменты для разработчиков; тем, кто собирает проекты на старых редакторах, рекомендовано пересобрать и переиздать приложения на версиях редактора с исправлением (доступны через Unity Hub/Download Archive). Для тех, кто пока не готов к релизной пересборке, подготовлен пэтчер приложений для Android/Windows/macOS (ограничения: не работает с некоторыми сборками с античитами и tamper-защитой). Уязвимость получила высокий балл серьёзности (CVSS ~8.4) и связана с небезопасной загрузкой файлов/Local File Inclusion.

Что предприняли платформы

Партнёры Unity включили «надстройки безопасности» на своей стороне. Valve выпустила обновление Steam с мерами снижения риска, а Microsoft Defender получил сигнатуры для обнаружения и блокировки попыток эксплуатации. Google и Meta также добавили защитные механизмы. При этом нет признаков, что уязвимость затрагивает iOS, VisionOS, tvOS, Xbox, Nintendo Switch, PlayStation, UWP, Quest и WebGL.

Как реагируют издатели и разработчики

Ряд студий уже выпускают патчи или временно ограничивают доступность проектов, чтобы пройти проверку и обновление. В частности, из цифровых магазинов временно убирались некоторые игры Microsoft/Obsidian (например, Pentiment), а также проекты, получившие оперативные патчи, — Marvel Snap, No Rest for the Wicked, Ingress, Fate/Grand Order; Atlus сообщила об обновлении Persona 5: The Phantom X. В отдельных случаях под ограничения попадали даже нe-Unity-игры, если у них есть Unity-компоненты (цифровые артбуки, лончеры и пр.).

Что делать разработчикам

• Проверить, на каких версиях Unity Editor собраны релизные билды.
• Пересобрать и переиздать приложения на версиях, содержащих исправления (или применить официальный пэтчер, если пересборка сейчас невозможна).
• Сообщить игрокам о необходимости обновить игру/лаунчер и держать системы защиты в актуальном состоянии.

Реальной эксплуатации уязвимости пока не зафиксировано, но уязвимость системная и давняя; чем быстрее разработчики выпустят обновления, тем меньше риск для игроков и партнёров по платформам.