В Unity знайшли критичну уразливість — автори V Rising вже опублікували офіційну заяву з цього приводу
Hennadiy Chemеris
Unity Technologies опублікувала офіційне попередження про критичну вразливість у рушії Unity, що стосується цілого ряду версій редактора та ігор, створених на його основі. Проблема отримала ідентифікатор CVE-2025-59489 і класифікується як вразливість високого ступеня небезпеки з CVSS-оцінкою 8.4.
Вразливість, виявлена спеціалістом RyotaK з GMO Flatt Security Inc. 4 червня 2025 року, пов'язана з небезпечним завантаженням файлів і локальним включенням файлів залежно від ОС. Це може призвести до виконання довільного коду або несанкціонованого доступу з тими ж правами, що й у додатку.
За даними Unity, вразливість стосується додатків та ігор на Android, Windows, Linux та macOS. Особливо небезпечними можуть бути проекти, що використовують власні URI-обробники в Windows.
Unity підкреслила, що поки не зафіксовано випадків експлуатації вразливості і жодної шкоди користувачам завдано не було. Однак компанія випустила виправлення і закликає розробників терміново оновитися.
Виправлені версії Unity Editor включають:
- 6000.3.0b4;
- 6000.2.6f2;
- 6000.0.58f2;
- Оновлення для гілок 2021, 2022 та 2023.
Навіть застарілі версії, починаючи з Unity 2019.1, отримали патчі, але більш старі релізи залишаться без підтримки.
Кілька відомих ігор вже отримали оновлення безпеки, серед них Cities Skylines 2 та Two Point Museum. За словами Unity, деякі проекти могли бути оновлені «тихо», без офіційних анонсів.
На ситуацію також відреагували розробники V Rising, попередивши гравців про ризики.
Нещодавно Unity виявила вразливість, що існує з 2017 року, яка може бути використана в іграх, створених на Unity. Ми вже випустили патч для клієнтів і в даний момент працюємо над виправленням для серверного клієнта.
Ми настійно рекомендуємо оновити вашу гру та виділений серверний клієнт, як тільки патч стане доступним, а також бути дуже обережними з будь-якими модами, які ви завантажуєте, поки не впевнитесь, що вони безпечні.
Берегти себе і бути уважними.
Що рекомендують робити гравцям і розробникам:
- Гравцям — якнайшвидше оновити клієнт ігор, побудованих на Unity, і бути обережними з модами;
- Адміністраторам серверів — встановити виправлення, коли вони будуть доступні;
- Розробникам — пересобрати проекти в останніх версіях Unity Editor або застосувати бінарні патчі.
Unity зазначила, що всі виправлення вже доступні через Unity Hub, і оновлення рекомендується не відкладати.
До речі, минулого року Unity запустила шосту версію рушія без скандальних правил оплати.
