Uma vulnerabilidade de execução remota de código no motor de jogos Unity pode ser explorada para executar código malicioso em dispositivos Android e para escalonamento de privilégios no Windows.
O Unity é uma plataforma de desenvolvimento multiplataforma muito utilizada, que oferece ferramentas de renderização, física, animação e scripting para criação de jogos e aplicações em Windows, macOS, Android, iOS, consoles e web.
Além de ser amplamente usado em jogos mobile, o Unity também está presente em títulos independentes e de médio porte para PC e consoles.
Fora do mercado de games, a plataforma é adotada em setores que demandam aplicações 3D em tempo real.
Para mitigar o risco, a Steam lançou uma atualização no seu cliente que bloqueia o lançamento de esquemas de URI personalizados, impedindo a exploração da vulnerabilidade por meio da sua plataforma de distribuição.
Paralelamente, a Valve orienta os publishers a recompilarem seus jogos usando uma versão segura do Unity ou a substituírem o arquivo ‘UnityPlayer.dll’ por uma versão corrigida em suas builds existentes.
A Microsoft também publicou um boletim de segurança alertando sobre o problema e recomenda que os usuários desinstalem os jogos vulneráveis até que novas atualizações contemplem a correção da falha identificada como
CVE-2025-59489
.
Entre os títulos afetados estão jogos populares como Hearthstone, The Elder Scrolls: Blades, Fallout Shelter, DOOM (2019), Wasteland 3 e Forza Customs.
O Unity aconselha os desenvolvedores a atualizarem o editor para a última versão disponível, recompilar os projetos e redistribuir os jogos ou aplicações.
A falha, que atinge o componente Runtime, permite o carregamento inseguro de arquivos e inclusão local de arquivos (Local File Inclusion), podendo resultar em execução remota de código e vazamento de informações.
A vulnerabilidade foi descoberta em maio pelo pesquisador RyotaK, da GMO Flatt Security, durante a Meta Bug Bounty Researcher Conference.
De acordo com ele, todas as versões do Unity a partir da 2017.1 estão afetadas.
Segundo o Unity, “[a vulnerabilidade] pode permitir a execução de código local e o acesso a informações confidenciais em dispositivos finais que rodem aplicações construídas com Unity”.
A execução de código fica restrita ao nível de privilégio da aplicação vulnerável, assim como o acesso às informações limita-se aos dados disponíveis para ela.
Em uma análise técnica, RyotaK demonstrou que o modo como o Unity trata os Intents no Android permite que qualquer aplicativo malicioso instalado no mesmo dispositivo carregue e execute uma biblioteca nativa fornecida pelo atacante.
Isso possibilita que o invasor rode código arbitrário com os privilégios do jogo alvo.
Embora a descoberta tenha ocorrido no Android, a raiz do problema — o tratamento inadequado do argumento de linha de comando -xrsdk-pre-init-library, sem validação ou sanitização — também existe nas plataformas Windows, macOS e Linux.
Nesses sistemas, diferentes caminhos de entrada podem permitir a passagem de argumentos não confiáveis ou a modificação dos caminhos de busca das bibliotecas, abrindo brechas para exploração quando as condições certas são atendidas.
Até a publicação do boletim em 2 de outubro, o Unity não identificou nenhuma exploração ativa da vulnerabilidade.
As correções já estão disponíveis. As recomendações para mitigação incluem atualizar o “Unity Editor para a versão mais recente, recompilar e redistribuir a aplicação” e substituir o binário de runtime do Unity por uma versão corrigida.
O Unity liberou patches para versões com suporte a partir da 2019.1.
Versões mais antigas, que já não recebem updates, não terão correções.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...