Unity Game Engine’daki bir kod yürütme güvenlik açığı, Android’de kod yürütme ve pencerelerde ayrıcalık artışı elde etmek için kullanılabilir.
Unity, geliştiricilerin Windows, MacOS, Android, iOS, konsollar ve Web için başlıklar oluşturmaları için oluşturma, fizik, animasyon ve komut dosyası oluşturma araçları sağlayan platformlar arası bir oyun motoru ve geliştirme platformudur.
Çok sayıda mobil oyun, Unity, indie ve orta katmanlı PC/Konsol başlıkları ile inşa edilmiştir. Platform ayrıca gerçek zamanlı 3D uygulamalar için oyun dışı sektörlerde de kullanılır.
Valve ve Microsoft Warn kullanıcıları
Riske yanıt olarak Steam, dağıtım platformu aracılığıyla sömürü önlemek için özel URI şemalarının başlatılmasını engelleyen yeni bir istemci güncellemesi yayınlayarak harekete geçti.
Aynı zamanda Valve, yayıncıların oyunlarını güvenli bir Unity sürümü kullanarak yeniden oluşturmalarını veya ‘UnityPlayer.dll’ dosyasının yamalı bir sürümünü mevcut yapılarına takmasını önerir.
Microsoft ayrıca sorun hakkında uyarmak için bir bülten yayınladı, kullanıcıların CVE-2025-59489’u ele alan yeni sürümler kullanıma sunulana kadar savunmasız oyunları kaldırmasını önerdi.
Şirket, Hearthstone, The Elder Scrolls: Blades, Fallout Barınağı, Doom (2019), Wasteland 3 ve Forza Gümrükleri dahil olmak üzere popüler oyun başlıklarının savunmasız olduğunu söyledi.
Unity, geliştiricilere editörü en son sürüm dalına güncellemelerini ve ardından oyunlarını veya uygulamalarını yeniden derlemelerini ve yeniden dağıtmasını önerir.
Desteklenmemiş bazı versiyonlara genişletilmiş yama
Güvenlik açığı CVE-2025-59489 olarak izlenir ve çalışma zamanı bileşenini etkiler. Güvenli olmayan dosya yüklemesine ve yerel dosya dahil edilmesine izin verir ve kod yürütme ve bilgi açıklamasına yol açabilir.
GMO Flatt Security’nin araştırmacısı ‘Ryotak’ Mayıs ayında Meta Bug Bounty Araştırmacı Konferansı’nda güvenlik açığını keşfetti ve 2017.1’den başlayarak motorun sürümleri üzerine inşa edilmiş tüm oyunları etkilediğini söylüyor.
“[The vulnerability] Yerel kod yürütülmesine ve Unity tarafından oluşturulmuş uygulamaları çalıştıran son kullanıcı cihazlarında gizli bilgilere erişmesine izin verebilir ”diyor Unity, güvenlik bülteninde uyarıyor.
“Kod yürütme, savunmasız uygulamanın ayrıcalık seviyesiyle sınırlı olacak ve bilgi açıklaması savunmasız başvuru için mevcut bilgilerle sınırlı olacaktır.”
Teknik bir yazımda Ryotak, Unity’nin Android niyetlerini ele almasının, savunmasız oyunun aynı cihaza yüklü herhangi bir kötü amaçlı uygulamaya saldırgan tarafından sağlanan bir ana kütüphane yüklemesine ve yürütmesine izin verdiğini gösterdi.
Bu, saldırganın hedef oyunun ayrıcalıkları ile keyfi kod yürütme yapmasını sağlar.
https://www.youtube.com/watch?v=qehqb4a_mwq
Ryotak, Android’deki sorunu keşfederken, temel neden – Unity’nin işlenmesi -xrsdk-cre-init-library Windows, macOS ve Linux işletim platformlarında da doğru doğrulama veya dezenfektan olmadan komut satırı bağımsızlaşması da mevcuttur.
Bu sistemlerde güvenilmez bağımsız değişkenleri besleyebilen veya hedeflenen uygulamada kütüphane arama yollarını değiştirebilen farklı giriş yolları vardır, bu nedenle koşullar karşılandığında sömürü mümkündür.
Unity, 2 Ekim’de bülteninin yayınlanmasından itibaren aktif bir sömürü gözlemlemediğini belirtiyor.
Düzeltmeler mevcuttur ve iyileştirme adımları arasında “Unity Editor’un en yeni sürüme güncellenmesi, ardından uygulamayı yeniden oluşturma ve yeniden dağıtma” ve Unity Runtime Binary’nin yamalı bir sürümle değiştirilmesi yer alır.
Unity, 2019.1 ve daha sonra başlayan destek dışı sürümlere düzeltmeler yayınladı. Artık desteklenmeyen eski sürümler yamayı almayacaktır.
Katılmak İhlal ve Saldırı Simülasyon Zirvesi ve deneyimle Güvenlik doğrulamasının geleceği. Üst düzey uzmanlardan dinleyin ve nasıl olduğunu görün AI ile çalışan BAS ihlal ve saldırı simülasyonunu dönüştürüyor.
Güvenlik stratejinizin geleceğini şekillendirecek etkinliği kaçırmayın