Unity Technologies, yaygın olarak kullanılan oyun geliştirme platformunu etkileyen yüksek şiddetli bir kırılganlık hakkında bir kritik güvenlik danışmanlığı uyarısı yayınladı.
CVE-2025-59489 olarak adlandırılan kusur, savunmasız Unity Editor sürümleriyle oluşturulan uygulamaları, birden fazla işletim sisteminde yerel kod yürütme ve ayrıcalık artışını sağlayabilecek güvenli olmayan dosya yükleme saldırılarına maruz bırakır.
Güvenlik açığı, saldırganların Unity tarafından oluşturulmuş uygulamalarda güvenli olmayan dosya yükleme mekanizmalarından yararlanmasına izin veren güvenilmeyen bir arama yolu zayıflığından (CWE-426) kaynaklanmaktadır.
CVSS skoru 8.4 ile bu güvenlik sorunu, 2017.1’den mevcut sürümlerle neredeyse tüm Unity Editor sürümlerini etkiliyor ve dünya çapında milyonlarca konuşlandırılmış oyun ve uygulamayı etkiliyor.
Yerel Dosya İçerme Güvenlik Açığı
Güvenlik açığı, işletim sistemleri arasında farklı bir şekilde kendini gösterir ve Android uygulamaları, hem kod yürütülmesine hem de ayrıcalık saldırılarının yüksekliğine duyarlı oldukları için en yüksek riskle karşılaşır.
Windows, Linux masaüstü, Linux gömülü ve macOS platformları, ayrıcalık risklerinin yükselmesini yaşar ve saldırganların uygulamanın ayrıcalık düzeyinde yetkisiz erişim kazanmasına izin verir.
GMO Flatt Security Inc.’deki güvenlik araştırmacıları, 4 Haziran 2025’te sorumlu açıklama uygulamaları ile kusurları keşfetti.
Güvenlik açığı, yerel dosya içerme mekanizmalarından yararlanır ve saldırganların, bu sürecin mümkün olduğu gizli bilgilere erişerken, savunmasız uygulamanın ayrıcalık seviyesiyle sınırlı keyfi kod yürütmesini sağlar.
Windows sistemlerinde, özel URI işleyicileri birlik uygulamaları için kaydedildiğinde tehdit manzarası daha karmaşık hale gelir.
Bu URI şemalarını tetikleyebilen saldırganlar, doğrudan komut satırı erişimi gerektirmeden savunmasız kütüphane yükleme davranışından yararlanarak saldırı yüzeyini önemli ölçüde genişletebilir.
| Risk faktörleri | Detaylar |
| Etkilenen ürünler | Unity Editor sürümleri 2017.1+ ve Android, Windows, Linux ve MacOS’da bu sürümlerle oluşturulan uygulamalar |
| Darbe | Yerel kod yürütme, ayrıcalık yükseltme, bilgi açıklaması |
| Önkoşuldan istismar | Yerel Sistem Erişimi, Hedef Sistemde Mevcut Korunmasız Birlik Yapılmış Uygulama |
| CVSS 3.1 puanı | 8.4 (Yüksek) |
Hafifletme
Unity, desteklenen tüm sürümler için yamalar ve Unity 2019.1’e dayanan eski sürümlere genişletilmiş düzeltmeler yayınladı.
Şirket iki temel iyileştirme yaklaşımı sunmaktadır: Uygulamaları güncellenmiş Unity Editor sürümleriyle yeniden inşa etmek veya Unity’nin dağıtılan uygulamalar için özel yama aracını kullanarak ikili yamaların uygulanması.
6000.3, 6000.2, 6000.0 LTS, 2022.3 XLT ve 2021.3 XLT dahil olmak üzere mevcut desteklenen sürümler derhal yamalar aldı.
2019’dan 2023.2’ye kadar uzanan eski sürümler de güvenlik güncellemeleri aldı, ancak 2017.1 – 2018 sürümleri.
Güvenlik Açığı Vektör Dizesi CVSS: 3.1/AV: L/AC: L/PR: N/UI: N/S: U/C: H/I: H/A: H, düşük karmaşıklık gereksinimlerine sahip yerel saldırı vektörlerini gösterir ve kullanıcı etkileşimi gerekmez, yerel sistem erişimi olan saldırganlar için nispeten basit bir şekilde sömürülür.
Unity, aktif sömürü kanıtı tespit edilmediğini ve bugüne kadar hiçbir müşteri etkisi bildirilmediğini vurgulamaktadır.
Günlük siber güvenlik güncellemeleri için bizi Google News, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
