Unity обнаружила критическую уязвимость, скрывавшуюся в движке восемь лет

Unity призывает разработчиков немедленно обновить ПО после обнаружения серьёзной уязвимости в версиях движка начиная с 2017.1. Проблема затрагивает приложения на Android, Windows, Linux и macOS.

Уязвимость обнаружили 4 июня 2025 года, а патч вышел 2 октября. Проблема делала пользователей уязвимыми к небезопасной загрузке файлов и атаке локального включения файлов в зависимости от операционной системы. Злоумышленники могли использовать её для локального выполнения кода или получения информации на уровне привилегий уязвимого приложения.

Компания уточнила, что нет свидетельств эксплуатации уязвимости, как и влияния на пользователей или клиентов.

Игры или приложения, выпущенные на версии 2017.1 или новее, могут содержать эту уязвимость. Разработчикам рекомендуют скачать исправленную версию Unity через Unity Hub или Unity Download Archive. Так как версия 2017.1 вышла в 2017 году, уязвимость существовала целых восемь лет.

Unity настоятельно рекомендует разработчикам, создавшим игры или приложения на версии 2017.1 и новее, перекомпилировать и переиздать приложение. Встроенное сканирование вредоносного ПО на Android обнаружит затронутое ПО, а Microsoft Defender для Windows обновили для обнаружения и блокировки уязвимости. Valve также добавляет дополнительную защиту от проблемы.

Для тех, кто не хочет пересобирать билды, Unity опубликовала инструмент для исправления приложений на Android, Windows и macOS. Однако инструмент не работает с билдами, имеющими защиту от взлома или античит-системы, а также не поддерживает Linux.

Linux по-прежнему имеет высокую степень серьёзности в таблице затронутых платформ на сайте Unity, но компания уточнила:

Из-за более низкого профиля риска Unity не выпустила Linux-версию Unity Application Patcher. При желании, особенно в средах со строгими политиками контроля доступа, пересоберите Linux-приложение с исправленным Unity Editor для удаления уязвимых путей кода.

Unity также добавила, что "исправление вряд ли сломает большинство игр" – формулировка, которая звучит менее убедительно, чем предполагалось.

Разработчикам на Unity рекомендуют информировать пользователей о необходимости обновлять девайсы и приложения, так как работа на старых версиях может быть опасной.