Jogos feitos com Unity foram retirados da Steam devido a risco de ataques RCE

Uma vulnerabilidade crítica de execução de código no popular motor de jogos Unity acendeu o alerta em gigantes da tecnologia como Valve (Steam) e Microsoft. A falha pode ser explorada para Execução Remota de Código (RCE) em dispositivos Android e para escalonamento de privilégios em sistemas Windows, afetando uma vasta gama de jogos e aplicações desenvolvidos na plataforma.

A Unity, amplamente utilizada para a criação de jogos móveis, títulos indie e de médio porte para PC/consoles, confirmou o risco em seu componente Runtime. A falha, rastreada como CVE-2025-59489, envolve o carregamento inseguro de arquivos e a inclusão de arquivos locais, o que pode levar à execução de código e à divulgação de informações confidenciais nos dispositivos dos usuários. O pesquisador 'RyotaK', da GMO Flatt Security, descobriu a falha em maio, alertando que ela afeta todos os jogos criados em versões do motor a partir de 2017.1.

A seriedade da ameaça levou as principais plataformas de distribuição a agir rapidamente. O Steam, da Valve, lançou uma nova atualização do Cliente que bloqueia o lançamento de esquemas de URI personalizados, prevenindo a exploração através de sua plataforma. A Valve também recomendou que os editores de jogos reconstruam seus títulos usando uma versão segura do Unity ou injetem o arquivo 'UnityPlayer.dll' corrigido em suas compilações existentes.

A Microsoft também emitiu um boletim, alertando que títulos de jogos populares, incluindo Hearthstone, The Elder Scrolls: Blades, Fallout Shelter, DOOM (2019), Wasteland 3 e Forza Customs, estão vulneráveis. A empresa aconselhou os usuários a desinstalarem jogos afetados até que novas versões, que abordem o CVE-2025-59489, sejam disponibilizadas.

A Unity reforçou o apelo, instruindo os desenvolvedores a atualizarem o Editor para a versão mais recente, e então recompilarem e reimplantarem seus jogos ou aplicativos.

Embora a Unity afirme não ter observado nenhuma exploração ativa até o momento, o risco é claro. A vulnerabilidade reside no tratamento inseguro do argumento de linha de comando -xrsdk-pre-init-library pelo Unity, sem validação ou higienização adequada.

O pesquisador RyotaK demonstrou que, em dispositivos Android, qualquer aplicativo malicioso instalado no mesmo aparelho que o jogo vulnerável pode carregar e executar uma biblioteca nativa fornecida pelo hacker. Isso concede ao invasor a capacidade de executar código arbitrário com os mesmos privilégios do jogo alvo.

Embora descoberta no Android, a causa raiz se estende aos sistemas operacionais Windows, macOS e Linux. Nesses ambientes, diferentes vetores de entrada podem ser utilizados para alimentar argumentos não confiáveis ou modificar caminhos de pesquisa de biblioteca, tornando a exploração possível se as condições forem satisfeitas. Embora a execução de código seja limitada ao nível de privilégio do aplicativo vulnerável, e a divulgação de informações seja restrita ao que o aplicativo tem acesso, o comprometimento é significativo.

A Unity disponibilizou correções, inclusive para algumas versões não suportadas a partir da 2019.1, mas versões mais antigas não receberão patch, elevando o risco para jogos legados.

Via - BC