I ricercatori di sicurezza hanno scoperto una vulnerabilità del Unity Game Engine che coinvolge tutte le piattaforme.

Vulnerabilità giochi Unity

I ricercatori di sicurezza hanno scoperto una grave vulnerabilità dei giochi realizzati con Unity Game Engine come The Elder Scrolls, Starfield, Avowed e molti altri, su tutte le piattaforme, compreso Windows ad eccezione di Xbox. Unity ha già rilasciato una patch per gli sviluppatori che dovranno implementarla nei loro giochi. Alcuni degli sviluppatori coinvolti hanno rimosso i giochi coinvolti dagli store online, mentre Steam ha integrato una patch con l’ultima release del client.

È stata identificata una vulnerabilità di sicurezza che interessa giochi e applicazioni basati su Unity versione 2017.1 e successive per i sistemi operativi Android, Windows, Linux e macOS. Non vi sono prove di sfruttamento della vulnerabilità, né vi è stato alcun impatto su utenti o clienti. Abbiamo fornito proattivamente correzioni che risolvono la vulnerabilità e sono già disponibili per tutti gli sviluppatori. La vulnerabilità è stata segnalata responsabilmente dal ricercatore di sicurezza RyotaK, che ringraziamo per la collaborazione.

  • Non vi è alcuna prova di sfruttamento della vulnerabilità né vi è stato alcun impatto sugli utenti o sui clienti.
  • Unity ha lavorato a stretto contatto con i nostri partner di piattaforma, che hanno adottato ulteriori misure per proteggere le loro piattaforme e gli utenti finali.
  • I giochi o le applicazioni rilasciati utilizzando Unity 2017.1 o versioni successive per Windows, Android, macOS o Linux potrebbero contenere questa vulnerabilità.
  • Unity ha rilasciato un aggiornamento per ciascuna delle versioni principali e secondarie di Unity Editor a partire da Unity 2019.1.
  • Unity ha rilasciato un patcher binario per applicare patch alle applicazioni già create a partire dalla versione 2017.1.

Anche Microsoft ha riconosciuto il problema suggerendo di rimuovere tutti i giochi coinvolti dall’exploit e attendere il rilascio della patch – trovate l’elenco completo dei giochi coinvolti a questo indirizzo.

Unity ha annunciato una vulnerabilità di sicurezza (CVE-2025-59489) che sta interessando giochi o applicazioni creati con Unity Gaming Engine Editor (versione 2017.1 o successiva).

Potresti utilizzare un’app Microsoft o giocare a un gioco Microsoft che dovrebbe essere disinstallato fino a quando non sarà disponibile un aggiornamento. Stiamo lavorando per aggiornare i giochi e le applicazioni potenzialmente interessati da questa vulnerabilità di Unity.

Nella maggior parte dei casi, puoi rimanere al sicuro assicurandoti che i tuoi giochi e le tue applicazioni siano aggiornati e che Microsoft Defender sia in esecuzione sul tuo dispositivo.

Se hai scaricato un gioco o un’app vulnerabile (vedi l’elenco qui sotto) su una delle seguenti piattaforme, potresti essere a rischio:

  • Android
  • Windows
  • Linux (Desktop)
  • Linux (incorporato)
  • MacOS

Abbiamo confermato che quanto segue non è interessato:

  • Console Xbox
  • Cloud Xbox
  • iOS
  • HoloLens

Passaggi successivi consigliati:

Per gli sviluppatori : Unity ha reso disponibile una correzione per gli sviluppatori. Le organizzazioni che ritengono di avere un’app o un gioco potenzialmente interessato dal problema dovrebbero fare riferimento alle linee guida di Unity e aggiornare le proprie app/giochi il prima possibile. Per ulteriori informazioni su Unity, clicca qui.

Per giocatori e clienti : i team di sviluppo giochi e sicurezza di Microsoft stanno lavorando per aggiornare tutti i giochi o le applicazioni potenzialmente interessati da questa vulnerabilità di Unity.

Se un gioco o un’applicazione di proprietà di Microsoft non è presente nell’elenco e hai installato tutti gli aggiornamenti disponibili, non sono necessarie ulteriori azioni. Per i clienti che hanno attivato gli aggiornamenti automatici, le correzioni verranno distribuite non appena disponibili. Se hai disattivato gli aggiornamenti automatici, verifica se sono disponibili aggiornamenti per le app e i giochi scaricati e installa l’ultimo aggiornamento sul tuo dispositivo.

Si consiglia ai clienti che hanno installato un’app o un gioco interessato (vedere l’elenco di seguito) di seguire questi passaggi:

  • Disinstallare temporaneamente tutte le app o i giochi Microsoft interessati fino a quando non sarà disponibile un aggiornamento. Per ulteriori informazioni sulla disinstallazione, consultare le domande frequenti riportate di seguito.
  • Utilizzare una versione aggiornata di Microsoft Defender per rilevare e bloccare i tentativi di sfruttare questa vulnerabilità.
  • Segui le istruzioni di Unity o del tuo fornitore della piattaforma.
  • I giochi e le app di proprietà di Microsoft interessati da questa vulnerabilità e i relativi aggiornamenti necessari sono documentati nella tabella degli aggiornamenti di sicurezza.

Per gli utenti di Microsoft Mesh Apps

In risposta a questo CVE che interessa le applicazioni create con Unity Gaming Engine Editor (versione 2017.1 o successiva), Microsoft ha rilasciato un aggiornamento di sicurezza obbligatorio per le applicazioni Microsoft Mesh per PC. Invitiamo vivamente tutti gli utenti con le app Microsoft Mesh installate sui propri dispositivi ad aggiornarle tempestivamente all’ultima versione, ovvero la 5.2513.3.0 o successiva. Se gli aggiornamenti automatici per queste app sono abilitati su tutti i dispositivi, non sono necessarie ulteriori azioni.

Sebbene non prevediamo che ciò influisca sulla funzionalità di eventi precedentemente programmati in Microsoft Mesh, sull’utilizzo degli spazi immersivi nelle riunioni di Microsoft Teams o sugli eventi immersivi in ​​Microsoft Teams, gli utenti dovranno aggiornare le app Mesh per PC prima di partecipare ai nuovi eventi programmati in Mesh. Vi informiamo fin da ora di questa situazione in modo che possiate mitigare eventuali disagi che ciò potrebbe causare ai vostri eventi.

Che ne pensate di questa vulnerabilità? Fateci sapere cosa ne pensate nei commenti.

Articolo di Windows Blog Italia
Fonte | Unity