Unity обнаружила "значительную уязвимость безопасности" в своем инструменте разработки, истоки которой восходят к 2017 году

Критическая уязвимость безопасности была выявлена в играх, разработанных с использованием инструментов Unity с 2017 года.

Результаты оценки Общих уязвимостей и воздействий (CVE) показывают, что если приложение было создано с помощью версии Unity Editor, содержащей уязвимый код Unity Runtime, это позволяет потенциальным злоумышленникам выполнять код и возможно извлекать конфиденциальные данные с компьютера-хоста.

Эта уязвимость затрагивает игры для платформ Android, Windows, Linux и macOS.

Ларри Хриб, директор по сообществу и адвокации Unity, подчеркнул в блоге-объявлении, что на данный момент нет известных эксплуатирований уязвимости или каких-либо негативных последствий для пользователей.

Он подтвердил, что меры для устранения проблемы были предприняты, и обновления уже доступны разработчикам.

Уязвимость была этически раскрыта исследователем безопасности РётаК, и Unity выразила признательность за сотрудничество.

Для смягчения проблемы Unity выпустила обновления для всех основных и минорных версий Unity Editor начиная с Unity 2019.1.

Кроме того, Unity выпустила бинарный патчер для исправления готовых приложений, начиная с версии 2017.1.

Разработчикам, которые выпустили приложения или игры, созданные с использованием Unity 2017.1 или новее для Windows, Android или macOS, рекомендуется проверить руководство Unity, чтобы гарантировать защиту своих пользователей.

Хриб настоятельно советует скачать обновленные версии Unity Editor, перекомпилировать и вновь выпустить приложения.

Также следует призывать пользователей поддерживать устройства и приложения в актуальном состоянии, включать автоматические обновления и использовать обновленную антивирусную защиту.

Помимо Unity, Microsoft обновила свое программное обеспечение Defender, чтобы распознавать и предотвращать эту уязвимость.

Valve также обновила свою платформу для усиления безопасности своего клиента Steam.

После уведомления о безопасности разработчики предприняли меры. Например, Obsidian удалила некоторые игры из онлайн-магазинов в качестве меры предосторожности.