Microsoft i Steam izdali zvanično upozorenje: Unity engine pod udarom hakera!
Jedan od najpopularnijih alata za izradu video igara, Unity engine, suočava se s ozbiljnom bezbednosnom pretnjom. Otkrivena ranjivost označena kao CVE-2025-59489 može omogućiti napadačima da daljinski izvrše zlonamerni kod putem igara i aplikacija razvijenih u pogođenim verzijama ovog alata.
Ova vrsta napada omogućava sajber kriminalcima da iskoriste privilegije aplikacije i dobiju pristup korisničkim podacima ili komandama na uređaju, bez znanja samog korisnika. Problem pogađa ogroman broj uređaja širom sveta, a potencijalna šteta meri se u milionima.
Napad kroz igru, kako ranjivost funkcioniše
Eksploatacija se oslanja na pokretanje malicioznog fajla unutar aplikacije razvijene u Unity-ju, čime se omogućava preuzimanje kontrole u okviru dozvola koje aplikacija već ima. Dakle, napadač ne može preuzeti kompletan operativni sistem, ali može napraviti ozbiljan problem unutar okvira same aplikacije.
To praktično znači da haker može prisluškivati podatke, slati komande ili izvršavati skripte koristeći isti nivo pristupa koji ima sama igra. Kod nasumičnih korisnika to može uključivati pristup podacima, fotografijama, pa čak i internetu, zavisno od prava koje aplikacija traži.
Unity brzo reaguje, ali rizik ostaje
Kompanija Unity potvrdila je postojanje problema i odmah izdala bezbednosne zakrpe, pozvavši sve programere da hitno ažuriraju svoje projekte. Iako su krpljenja dostupna, glavni izazov ostaje u brzini njihove primene jer je Unity engine ugrađen u ogroman broj igara koje su već u opticaju.
Zabrinutost raste jer se propust odnosi na aplikacije za Android, Windows, Linux i macOS sisteme, dok iOS, Xbox, PlayStation i Nintendo Switch za sada nisu pogođeni. Ipak, to i dalje ostavlja milione uređaja širom sveta ranjivim, posebno mobilne telefone.
Microsoft i Steam izdaju upozorenja korisnicima
Microsoft je upozorio korisnike da privremeno uklone sve aplikacije koje bi mogle biti pogođene dok se ne potvrdi da su ažurirane. Kompanija ističe da je u većini slučajeva dovoljno da igre budu ažurirane i da je Microsoft Defender aktivan kako bi se zaštita dodatno pojačala.
Steam je sa svoje strane najavio blokadu pokušaja pokretanja igara koje koriste specifične komandne parametre pomenute u zvaničnom Unity izveštaju. Ovo je preventivna mera kako bi se sprečilo da ranjivost postane deo šireg sajber napada u gejming zajednici.
Ranjivost otkrivena zahvaljujući japanskom istraživaču
Zanimljivo je da je ovu kritičnu ranjivost prvi otkrio istraživač bezbednosti poznat pod nadimkom RyotaK, zaposlen u japanskoj kompaniji GMO Flatt Security. Propust je prijavljen tokom Meta Bug Bounty konferencije održane u junu 2025. godine.
Zahvaljujući blagovremenom izveštavanju i saradnji sa Unity timom, ranjivost nije aktivno iskorišćena u trenutku otkrivanja. Ipak, s obzirom na obim potencijalne štete, stručnjaci upozoravaju da je brzo delovanje ključno za sprečavanje mogućih napada u bliskoj budućnosti.
Zabranjeno preuzimanje dela ili čitavog teksta i/ili foto/videa, bez navođenja i linkovanja izvora i autora, a u skladu sa odredbama WMG uslova korišćenja i Zakonom o javnom informisanju i medijima.