В движке Unity восемь лет скрывалась опасная уязвимость

Даже популярные программные продукты, которые каждый день используют миллионы пользователей, не идеальны. Случается, что «дыру» в безопасности ПО удаётся быстро обнаружить и залатать. Но иногда брешь в коде может оставаться годами. И тут главное — кто её раньше заметит: сами создатели, энтузиасты, которые тихонько предупредят этих создателей, или же злоумышленники. Последний вариант — очень неприятный.

Краткое содержание

• В движке Unity обнаружена уязвимость;
• Её не замечали почти девять лет;
• Когда заметили — устранили;
• Кажется, злоумышленники ей не воспользовались;
• Но это не точно;
• Некоторые разработчики игр на Unity перестраховались.

Опасная уязвимость в Unity

Прореху обнаружили 5 июля 2025 года, а к началу октября её полностью смогли устранить. В Unity отмечают, что пока ничего не слышали о том, чтобы кто-то использовал уязвимость в корыстных целях. Но, учитывая, сколько лет она просуществовала, радоваться пока рановато.

Чем грозит наличие уязвимости

Уязвимость CVE-2025-59489 получила 8,4 балла из 10 по шкале опасности. Наблюдалась она не только на Windows. Также она затронула Linux, macOS и Android. Эту «дыру» можно было использовать для получения доступа к различной информации пользователя, незащищённой загрузки файлов и даже PhP-инъекций.

Без паники

Чтобы залатать «брешь», разработчики движка советуют перекомпилировать и перевыпустить всё, что было создано на «дырявом» движке. Также можно воспользоваться специальной утилитой для обновления. Но она доступна только для Windows, macOS и Android, так что тем, кто делал что-то для линукса, придётся повозиться. В Unity уверяют, что обновление «скорее всего не испортит большинство игр». Оптимистично.

Узнав о прорехе, подсуетились не только в Unity и Steam. Студия Obsidian Entertainment, например, убрала с цифровых платформ свои игры, созданные на проблемном движке.

Эти игры Obsidian Entertainment временно недоступны для покупки в магазинах Xbox, PlayStation и Steam:

• Grounded 2 Founders Edition;
• Grounded 2 Founders Pack;
• Avowed Premium Edition;
• Avowed Premium Edition Upgrade;
• Pillars of Eternity: Hero Edition;
• Pillars of Eternity: Definitive Edition;
• Pillars of Eternity 2: Deadfire;
• Pillars of Eternity 2: Deadfire Ultimate;
• Pentiment.

Внимательный читатель наверняка удивится, почему в списке оказался Avoved, разработанный на Unreal Engine? А потому что артбуки и прочий дополнительный контент к ней создан на Unity!

Obsidian сообщает, что обновлённые версии игр обязательно снова появятся в продаже. Когда именно — пока неизвестно.

Надеемся, ребята успеют залатать The Outer Worlds 2 и не станут переносить дату релиза. Выход игры, напомним, намечен на 29 октября.