В Unity нашли серьёзную уязвимость (CVE-2025-59489), позволяющую запускать произвольный код в играх и приложениях — особенно опасно на Android, а на Windows даёт возможности для повышения привилегий. Да, речь о движке, на котором сделаны тысячи мобильных игр и куча инди проектов — так что проблема масштабная.
Исследователь RyotaK заметил баг ещё в мае (на конференции Meta Bug Bounty Researcher). Причина в том, как Unity обрабатывает аргумент командной строки -xrsdk-pre-init-library — он не проверяется и не очищается.
На Android это означает: если на устройстве есть вредоносное приложение, оно может подсунуть игре свою библиотеку через Intent и заставить игру её загрузить — то есть получить исполнение кода в контексте игры.
На Windows, macOS и Linux похожие пути (не только Intents) тоже возможны — можно менять пути поиска библиотек или подставлять аргументы, если есть соответствующий вектор ввода.
Что это даёт злоумышленнику
На Android — произвольное выполнение нативного кода в пределах прав уязвимого приложения.
На Windows — варианты для повышения привилегий и локального исполнения кода через модификацию путей загрузки библиотек или аргументов. Unity подчёркивает: исполнение кода ограничено правами самой игры, а утечка информации — тем, что доступно приложению.
Компания также утверждает, что уязвимость присутствует в рантайме для версий начиная с 2017.1 и далее, а патчи выпущены для версий с 2019.1 и новее, включая некоторые устаревшие ветки. Старые и уже не поддерживаемые версии патча не получат — так что часть билдов останется уязвимой до пересборки.
В списке уязвимых игр компании указывают : Hearthstone, The Elder Scrolls: Blades, Fallout Shelter, DOOM (2019), Wasteland 3, Forza Customs и другие популярные проекты — то есть и мобильные хиты, и некоторые десктопные версии.
Реакция платформ и компании:
Valve/Steam выпустила обновление клиента, которое блокирует запуск кастомных URI-схем через платформу, чтобы закрыть один из векторов.
Valve рекомендует издателям пересобрать игры на безопасной версии Unity или просто заменить у билда библиотеку UnityPlayer.dll на пропатченную.
Microsoftвыпустила бюллетень с предупреждением и советом — пока нет патча у конкретной игры, лучше её удалить.
Unity выпустила бюллетень и рекомендует разработчикам обновить Unity Editor до свежей ветки, пересобрать и переопубликовать приложения либо заменить рантайм-бинарь на актуальный.
Что делать обычному игроку:
Если игра обновилась и в патче указан фикс — обновляйте и устанавливайте.
Если разработчик ещё не выпустил патч — по возможности удалите игру с устройства (Microsoft прямо рекомендует это для Windows-версий).
На Android следите за тем, какие приложения вы устанавливаете — не давайте лишних прав подозрительным приложениям, особенно если вы играете в популярные Unity-проекты.
Что делать разработчикам:
Немедленно обновить Unity Editor до ближайшей безопасной ветки, пересобрать игру и выпустить обновление.
Если пересборка невозможна, заменить рантайм-библиотеку (UnityPlayer.dll/аналог) в уже выпущенных билдах на пропатченную версию, как советует Valve.
Пересмотреть обработку входных аргументов, проверку путей и загрузку библиотек — и по возможности убрать ненужную функциональность, которая открывает такие векторы.
Unity заявляет, что по состоянию на начало октября активного использования уязвимости не наблюдалось. Но учитывая широкий охват Unity в индустрии, лучше не рассчитывать на удачу — обновления и осторожность сейчас важнее.
Проблема серьёзная, но исправима: игрокам — следить за обновлениями и по возможности временно удалять уязвимые приложения; разработчикам — быстро обновлять редактор и/или подставлять заплатки в рантайм и заново выкатывать сборки. Чем быстрее это сделают массовые издатели, тем быстрее риски снизятся.
Сертификаты безопасности у карт Visa и Mastercard, которые всё ещё находятся в обращении в России, истекли 1 января 2025 года. Именно этим обусловлены меры Банка России, направленные на ускоренное выведение таких карт из оборота.
«Речь идёт именно о просроченных картах. Это не ограничение срока действия, а возвращение к модели, когда карты выпускались со сроком годности. Причины просты и понятны: со временем пластик изнашивается. Если говорить о картах международных платёжных систем, то с 1 января этого года сертификаты безопасности во всех чипах перестали действовать. Это вопрос безопасности платёжного инструмента. Поэтому сейчас и ведётся такая дискуссия», — пояснил Дмитрий Дубынин, отвечая на вопрос о решении регулятора ограничить срок действия карт зарубежных систем.
Вопрос об обслуживании карт с истекшими сертификатами банки решают самостоятельно. Чтобы такие карты продолжали работать, проводится дополнительная настройка банкоматов и платёжных терминалов. По данным НСПК, лишь около 1% устройств для снятия наличных и приёма платежей не поддерживают работу с картами, у которых истёк срок действия сертификатов.
При этом в июле 2025 года Банк России объявил о намерении ограничить срок использования карт с просроченными сертификатами. Как пояснила директор департамента национальной платёжной системы ЦБ Алла Бакина, эта мера направлена на противодействие мошенничеству.
Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
