Tysiące gier stworzonych na silniku Unity są narażone na atak z powodu poważnej luki, która istniała od ośmiu lat. Aby usunąć zagrożenie, deweloperzy muszą odbudować swoje gry na poprawionej wersji silnika. Nie wystarczy zwykła aktualizacja dla graczy.
Od premiery w 2005 roku Unity stał się jednym z najważniejszych narzędzi w branży gier, napędzając takie tytuły jak Cuphead, Hollow Knight, Monument Valley czy Genshin Impact. Jednakże ujawniona niedawno podatność pokazuje, iż nawet tak powszechnie używane technologie mogą przez lata skrywać poważne zagrożenia dla bezpieczeństwa deweloperów i graczy.
W czerwcu badacze bezpieczeństwa odkryli potencjalnie niebezpieczną lukę w grach stworzonych w Unity, która pozostawała niezałatana przez lata. Unity Technologies niedawno wypuściło poprawki i narzędzia naprawcze, aby rozwiązać ten kłopot, choć pełna naprawa wszystkich dotkniętych gier pozostaje mało prawdopodobna.
Laptopy gamingowe w naszej ofercie:
Luka istniała od dawna
Firma RyotaK, zajmująca się bezpieczeństwem IT, odkryła poważną lukę w grach stworzonych z użyciem silnika Unity w wersji 2017.1 i nowszych. Oznacza to, że podatność mogła istnieć i pozostawać niezauważona przez co najmniej osiem lat.
Według Unity luka wiąże się z niebezpiecznym ładowaniem plików i możliwością dołączania złośliwych danych. To może prowadzić do ataków, których skutki różnią się w zależności od systemu operacyjnego. W najgorszym scenariuszu cyberprzestępcy mogliby uruchamiać złośliwy kod lub uzyskać dostęp do poufnych danych na urządzeniu ofiary.
Nie odnotowano dowodów na ingerencję osób trzecich
Luka została oznaczona identyfikatorem CVE-2025-59489 i otrzymała wysoką ocenę w systemie CVSS – 8,4 na 10 punktów.
Na większości systemów może prowadzić do eskalacji uprawnień.
W przypadku Androida – do wykonania złośliwego kodu.
Unity podkreśla, że ewentualne szkody byłyby ograniczone do poziomu uprawnień samej aplikacji – przynajmniej w teorii. Firma twierdzi, że po otrzymaniu informacji o luce kilka miesięcy temu, nie znaleziono żadnych dowodów na jej wykorzystanie przez osoby trzecie. Dotychczas nie odnotowano również żadnych skarg od użytkowników.
Powstało narzędzie do zabezpieczenia luki w Unity
Dobra wiadomość brzmi natomiast następująco: luka została już załatana w najnowszych wersjach Unity. Oznacza to, iż nowe gry tworzone na aktualnych wersjach silnika są bezpieczne. Problem dotyczy jednak starszych produkcji. Unity apeluje do deweloperów, by zaktualizowali silnik, przebudowali swoje gry i ponownie je opublikowali.
W tym celu firma udostępniła specjalne narzędzie do łatania oraz szczegółowy przewodnik naprawczy.
Narzędzie działa tylko na Windows i macOS i wymaga połączenia z internetem.
Jest przeznaczone wyłącznie dla twórców gier – gracze i użytkownicy końcowi nie mogą go używać.
Co ciekawe, w niektórych przypadkach użycie narzędzia może sprawić, że dana gra przestanie działać. Unity zaleca dokładne testowanie po każdej aktualizacji. Tytuły zabezpieczone przed modyfikacjami lub oszustwami mogą być niekompatybilne z narzędziem.
