Notebookcheck Logo

Ontwikkelaars worden aangespoord om games onmiddellijk te patchen nu er na 8 jaar een groot beveiligingslek in Unity is ontdekt

Het Unity-logo op een zwarte achtergrond (bron: Unity)
Het Unity-logo op een zwarte achtergrond (bron: Unity)
Een kritiek Unity-kwetsbaar punt (CVE-2025-59489), ontdekt op 4 juni 2025 door onderzoeker RyotaK, maakt arbitraire code-uitvoering mogelijk in titels met oudere versies van de game-engine. Unity heeft sindsdien patches bekendgemaakt, waaronder een binaire patcher op 2 oktober, en heeft ontwikkelaars aangespoord om hun titels onmiddellijk opnieuw te compileren en te publiceren, ook al is er nog geen bewijs van uitbuiting.
Gaming Security Desktop Console

Een kritiek beveiligingslek dat al sinds 2017 ongebruikt in de engine van Unity zat, is nu ontmaskerd engine sinds 2017 is ontdekt. Na de ontdekking kregen ontwikkelaars over de hele wereld een waarschuwing van het ontwikkelplatform, waarbij ontwikkelaars onmiddellijk werden aangespoord om hun games opnieuw te compileren en te publiceren om gebruikers te beschermen.

De kwetsbaarheid CVE-2025-59489 maakt arbitraire code-uitvoering mogelijk via argumentinjectie in Unity Runtime, waardoor potentiële aanvallers met lokale toegang kwaadaardige bibliotheken kunnen laden en hun privileges kunnen escaleren.

Het beveiligingslek werd op 4 juni 2025 ontdekt door beveiligingsonderzoeker RyotaK van GMO Flatt Security Inc. Het beveiligingslek treft games en apps die zijn gebouwd met Unity versie 2017.1 en later op Android, Linux en macOS.

Volgens CVSS, het Common Vulnerability Scoring System, een methode die wordt gebruikt om de ernst van een softwarekwetsbaarheid te meten, scoort Unity 2017.1 een "High" 8,4 uit 10.

Unity maakte deze kwetsbaarheid bekend op 2 oktober 2025, en drong erop aan dat de fixes dezelfde dag nog zouden worden uitgerold voor Unity Editor-versies vanaf 2019.1, naast een binaire patchtool voor het retrofitten van builds die teruggaan tot 2017.1.

In het officiële beveiligingsberichtbenadrukte Unity: "Er is geen bewijs van uitbuiting of kwetsbaarheid, noch is er enige impact geweest op gebruikers of klanten." Unity verklaarde verder: "We hebben proactief fixes geleverd die de kwetsbaarheid verhelpen, en deze zijn al beschikbaar voor alle ontwikkelaars."

Unity sloot het bericht af met de volgende afsluitende opmerkingen: "Unity is toegewijd aan de veiligheid en integriteit van ons platform, onze klanten en de bredere gemeenschap. Transparante communicatie staat centraal in deze toewijding, en we zullen waar nodig updates blijven geven."

Deze ontdekking veroorzaakte massahysterie in de hele industrie, omdat grote studio's en indie-ontwikkelaars haastig titels gingen bijwerken, wat leidde tot tijdelijke winkelpuiverwijderingen. Obsidian Entertainment trok op 3 oktober verschillende Unity-games terug, waaronder Pillars of Eternity II: Deadfire en Pentiment. Among Us-ontwikkelaar Innersloth en Marvel Snap's Second Dinner bevestigden ook patches voor hun mobiele titels.

Ook PsychoFlux Entertainment heeft naar verluidt 11 Steam-games gepatcht, zoals Gravity Castle en Fingerdance, terwijl Tenbris Studio zijn horrorgame "Your Computer Might be At Risk" op Steam heeft bijgewerkt.

Deze aflevering laat zien dat er nog steeds onontdekte kwetsbaarheden op de loer liggen in oudere code. De snelle reactie van Unity kan echter de gevolgen hebben beperkt die anders in het spel zouden zijn geweest voor een game-engine die maar liefst 750.000 games aandrijft, variërend van AAA-titels tot indies.

Koop Leren van C# door Games te Ontwikkelen met Unity op Amazon

Bron(nen)

Eenheid

Please share our article, every link counts!
Mail Logo
> Overzichten en testrapporten over laptops en mobieltjes > Nieuws > Nieuws Archief > Nieuws archieven 2025 10 > Ontwikkelaars worden aangespoord om games onmiddellijk te patchen nu er na 8 jaar een groot beveiligingslek in Unity is ontdekt
Rahim Amir Noorali, 2025-10- 6 (Update: 2025-10- 6)