Компания Unity выявила "крупную уязвимость безопасности" в своем инструменте разработки, которая существовала с 2017 года

логотип Unity на темном фоне

Автор изображения: Unity

Компания Unity обнаружила значительную уязвимость в своем инструменте разработки, влияющую на игры, созданные с ее программным обеспечением с 2017 года.

Эта проблема, описанная в анализе CVE, предполагает, что если игра была создана с использованием скомпрометированной версии Unity Editor, злоумышленник может потенциально выполнить вредоносный код и получить доступ к конфиденциальной информации на устройстве, где запускается игра.

Уязвимость влияет на проекты, работающие на системах Android, Windows, Linux и macOS.

Директор Unity по работе с сообществом и защитой интересов, Ларри Хриб, сообщил в записи в блоге, что не обнаружено известных случаев эксплуатации этой уязвимости, и ущерба пользователям или клиентам не нанесено.

"Исправления, решающие проблему, были проактивно распространены и доступны всем разработчикам", - упомянул он.

Уязвимость была сознательно раскрыта исследователем безопасности RyotaK, за что Unity выразила благодарность.

Unity отреагировала, выпустив обновления для всех значительных и незначительных версий Unity Editor начиная с Unity 2019.1. Кроме того, доступен бинарный патчер для исправления приложений, созданных начиная с версии 2017.1.

Разработчикам, использовавшим Unity 2017.1 или более поздние версии для создания игр или приложений для Windows, Android или macOS, рекомендуется ознакомиться с рекомендациями Unity по обеспечению безопасности пользователей.

Хриб рекомендует скачать обновленную версию Unity Editor, перекомпилировать и заново выпустить приложения для снижения риска.

Пользователям рекомендуется поддерживать устройства и приложения в актуальном состоянии, включать автоматические обновления и держать антивирусное программное обеспечение обновленным.

Помимо усилий Unity, Microsoft Defender также был обновлен для выявления и блокировки этой уязвимости.

Valve выпустила обновление, чтобы интегрировать дополнительные меры безопасности для клиента Steam.

После этих событий некоторые разработчики отреагировали на уязвимость безопасности, например, компании такие как Obsidian удаляют некоторые игры из цифровых магазинов.