Se podría explotar una vulnerabilidad de ejecución de código en el motor Unity Game para lograr la ejecución del código en Android y la escalada de privilegios en Windows.
Unity es una plataforma de desarrollo de juegos multiplataforma y de desarrollo que proporciona herramientas de representación, física, animación y secuencias de comandos para que los desarrolladores creen títulos para Windows, MacOS, Android, iOS, consolas y la web.
Una gran cantidad de juegos móviles se construyen con Unity, así como títulos de consola de PC/consola indie y de nivel medio. La plataforma también se utiliza en industrias no de juego para aplicaciones 3D en tiempo real.
Valve y Microsoft advierten a los usuarios
En respuesta al riesgo, Steam ha tomado medidas al liberar un nueva actualización del cliente Eso bloquea el lanzamiento de esquemas URI personalizados para evitar la explotación a través de su plataforma de distribución.
Al mismo tiempo, Valve recomienda que los editores reconstruyan sus juegos utilizando una versión de Unity Safe, o conecten una versión parcheada del archivo 'UnityPlayer.dll' directamente en sus compilaciones existentes.
Microsoft también tiene Publicado un boletín Para advertir sobre el problema, recomendar a los usuarios que desinstalen juegos vulnerables están desinstaladas hasta que las nuevas versiones que aborden CVE-2025-59489 estén disponibles.
La compañía dijo que los títulos de juegos populares son vulnerables, incluidos Hearthstone, The Elder Scrolls: Blades, Fallout Shelter, Doom (2019), Wasteland 3 y Forza Customs.
Unity recomienda a los desarrolladores que actualicen el editor en la última rama de la versión y luego recompilen y vuelva a desplegar sus juegos o aplicaciones.
Parche extendido a algunas versiones no compatibles
La vulnerabilidad se rastrea como CVE-2025-59489 y afecta el componente de tiempo de ejecución. Permite la carga de archivos inseguro y la inclusión de archivos locales, y podría conducir a la ejecución del código y la divulgación de información.
El investigador de GMO Flatt Security 'Ryotak' descubrió la vulnerabilidad en mayo, en la Conferencia de Investigadores de Bounty de Meta Bug y dice que afecta a todos los juegos construidos en versiones del motor a partir de 2017.1.
«(La vulnerabilidad) podría permitir la ejecución del código local y el acceso a información confidencial sobre dispositivos de usuario final que ejecutan aplicaciones construidas por unidad», advierte Unity en su boletín de seguridad.
«La ejecución del código se limitaría al nivel de privilegio de la aplicación vulnerable, y la divulgación de información se limitaría a la información disponible para la aplicación vulnerable».
En redacción técnicaRyotak mostró que el manejo de Unity de los intentos de Android permite que cualquier aplicación maliciosa sea instalada en el mismo dispositivo que el juego vulnerable cargar y ejecutar una biblioteca nativa suplicada por el atacante.
Esto permite al atacante lograr la ejecución de código arbitraria con los privilegios del juego objetivo.
https://www.youtube.com/watch?v=qehqb4a_mwq
Mientras que Ryotak descubrió el problema en Android, la causa raíz: el manejo de la Unidad del -xrsdk-preinit-bibrary El argumento de la línea de comandos sin una validación o desinfección adecuada, también está presente en las plataformas operativas de Windows, MacOS y Linux.
Existen diferentes rutas de entrada en estos sistemas que pueden alimentar argumentos no confiables o modificar las rutas de búsqueda de la biblioteca en la aplicación específica, por lo que cuando se cumplen las condiciones, la explotación es posible.
Unity afirma que no ha observado una explotación activa a partir de la publicación de su boletín el 2 de octubre.
Las correcciones están disponibles y los pasos de remediación incluyen actualizar «el editor de la unidad a la versión más reciente y luego reconstruir y volver a desplegar la aplicación» y reemplazar el binario de tiempo de ejecución Unity con una versión parchada.
Unity ha lanzado correcciones a versiones fuera de apoyo a partir de 2019.1 y más tarde. Las versiones anteriores que ya no son compatibles no recibirán el parche.
Unirse al Cumbre de simulación de violación y ataque y experimentar el Futuro de la validación de seguridad. Escuchar a los mejores expertos y ver cómo Basura está transformando la simulación de violación y ataque.
No se pierda el evento que dará forma al futuro de su estrategia de seguridad.
