В игровом движке Unity обнаружена критическая уязвимость, скрывавшаяся 9 лет

Опасная брешь в системе безопасности угрожала пользователям Windows, Linux, macOS и Android, позволяя злоумышленникам выполнять произвольный код и получать конфиденциальные данные. Разработчик выпустил экстренное обновление.

Компания Unity Technologies сообщила об устранении серьезной уязвимости CVE-2025-59489, которая присутствовала в движке с 2017 года. Проблема затрагивала все основные операционные системы и получила высокий балл опасности 8.4 по шкале CVSS. Уязвимость позволяла осуществлять небезопасную загрузку файлов и PHP-инъекции, что создавало риски несанкционированного доступа к пользовательским данным.

Unity настоятельно рекомендует разработчикам, использующим версии движка от 2017.1 и новее, перекомпилировать и перевыпустить свои приложения. Для платформ Windows, macOS и Android доступен специальный инструмент обновления. Компания заверяет, что патч не должен нарушить работоспособность большинства проектов, и призывает активно информировать пользователей о необходимости установки актуальных версий.

Хотя доказательств эксплуатации уязвимости в реальных условиях не обнаружено, ее длительное существование вызывает серьезную озабоченность. Платформа Steam уже внедрила дополнительные защитные механизмы. Производитель подчеркивает важность своевременного обновления программного обеспечения как со стороны разработчиков, так и конечных пользователей.

Этот инцидент показывает сохраняющиеся проблемы в обеспечении безопасности даже в широко распространенных технологических платформах. Регулярный аудит кода и оперативное устранение уязвимостей остаются критически важными для защиты миллионов пользователей по всему миру.