В Unity найдена RCE-уязвимость – под угрозой ПК-геймеры

Издатели игр на движке Unity уже удаляют проекты с игровых платформ.

Компания Obsidian Entertainment временно удалила несколько своих игр из цифровых магазинов. Под временное удаление попали такие проекты, как Pentiment, обе части Pillars of Eternity, а также отдельные издания Avowed и Grounded 2. Что случилось?

Оказалось, некоторые игры и дополнительные материалы к ним, включая артбуки, созданы на движке Unity. А проблема с Unity возникла из-за критической RCE-уязвимости. Разработчики обнаружили, что злоумышленники могут выполнять произвольный код на устройствах пользователей через эту уязвимость. Вот здесь она подробно описана.


Проблема затрагивает игры, созданные на версиях Unity начиная с 2017 года, и представляет собой угрозу для операционных систем Windows, Android, macOS и Linux. Unity уже выпустила патч и настоятельно рекомендует обновить все игры, созданные на движке начиная с версии 2017.1.

Разработчики активно работают над патчами для своих игр, чтобы устранить и вернуть продукты в продажу. В особых случаях, когда игры используют системы античита, стандартное исправление не подойдет – им потребуется полная перекомпиляция. Игрокам, уже приобретшим указанные тайтлы, рекомендуют установить обновления сразу после их появления в магазинах.

Платформы Xbox, PlayStation и iOS не подвержены данной уязвимости благодаря встроенным механизмам безопасности, однако Unity рекомендует и их разработчикам перейти на актуальные версии движка. Крупные платформы, включая Steam и Microsoft Store, уже начали массовое обновление каталогов для защиты пользователей.

---

Пока что масштабы проблемы не выявлены.