В Unity нашли серьёзную уязвимость (CVE-2025-59489), позволяющую запускать произвольный код в играх и приложениях — особенно опасно на Android, а на Windows даёт возможности для повышения привилегий. Да, речь о движке, на котором сделаны тысячи мобильных игр и куча инди проектов — так что проблема масштабная.
Исследователь RyotaK заметил баг ещё в мае (на конференции Meta Bug Bounty Researcher). Причина в том, как Unity обрабатывает аргумент командной строки -xrsdk-pre-init-library — он не проверяется и не очищается.
На Android это означает: если на устройстве есть вредоносное приложение, оно может подсунуть игре свою библиотеку через Intent и заставить игру её загрузить — то есть получить исполнение кода в контексте игры.
На Windows, macOS и Linux похожие пути (не только Intents) тоже возможны — можно менять пути поиска библиотек или подставлять аргументы, если есть соответствующий вектор ввода.
Что это даёт злоумышленнику
На Android — произвольное выполнение нативного кода в пределах прав уязвимого приложения.
На Windows — варианты для повышения привилегий и локального исполнения кода через модификацию путей загрузки библиотек или аргументов. Unity подчёркивает: исполнение кода ограничено правами самой игры, а утечка информации — тем, что доступно приложению.
Компания также утверждает, что уязвимость присутствует в рантайме для версий начиная с 2017.1 и далее, а патчи выпущены для версий с 2019.1 и новее, включая некоторые устаревшие ветки. Старые и уже не поддерживаемые версии патча не получат — так что часть билдов останется уязвимой до пересборки.
В списке уязвимых игр компании указывают : Hearthstone, The Elder Scrolls: Blades, Fallout Shelter, DOOM (2019), Wasteland 3, Forza Customs и другие популярные проекты — то есть и мобильные хиты, и некоторые десктопные версии.
Реакция платформ и компании:
Valve/Steam выпустила обновление клиента, которое блокирует запуск кастомных URI-схем через платформу, чтобы закрыть один из векторов.
Valve рекомендует издателям пересобрать игры на безопасной версии Unity или просто заменить у билда библиотеку UnityPlayer.dll на пропатченную.
Microsoftвыпустила бюллетень с предупреждением и советом — пока нет патча у конкретной игры, лучше её удалить.
Unity выпустила бюллетень и рекомендует разработчикам обновить Unity Editor до свежей ветки, пересобрать и переопубликовать приложения либо заменить рантайм-бинарь на актуальный.
Что делать обычному игроку:
Если игра обновилась и в патче указан фикс — обновляйте и устанавливайте.
Если разработчик ещё не выпустил патч — по возможности удалите игру с устройства (Microsoft прямо рекомендует это для Windows-версий).
На Android следите за тем, какие приложения вы устанавливаете — не давайте лишних прав подозрительным приложениям, особенно если вы играете в популярные Unity-проекты.
Что делать разработчикам:
Немедленно обновить Unity Editor до ближайшей безопасной ветки, пересобрать игру и выпустить обновление.
Если пересборка невозможна, заменить рантайм-библиотеку (UnityPlayer.dll/аналог) в уже выпущенных билдах на пропатченную версию, как советует Valve.
Пересмотреть обработку входных аргументов, проверку путей и загрузку библиотек — и по возможности убрать ненужную функциональность, которая открывает такие векторы.
Unity заявляет, что по состоянию на начало октября активного использования уязвимости не наблюдалось. Но учитывая широкий охват Unity в индустрии, лучше не рассчитывать на удачу — обновления и осторожность сейчас важнее.
Проблема серьёзная, но исправима: игрокам — следить за обновлениями и по возможности временно удалять уязвимые приложения; разработчикам — быстро обновлять редактор и/или подставлять заплатки в рантайм и заново выкатывать сборки. Чем быстрее это сделают массовые издатели, тем быстрее риски снизятся.
Исследователи из Wiz обнаружили критическую уязвимость в GitHub, которая позволяла выполнить код на серверной инфраструктуре платформы через обычную команду git push. Проблема получила идентификатор CVE-2026-3854 и затрагивала GitHub[.]com, корпоративный сервер GitHub и несколько облачных корпоративных версий GitHub.
Суть уязвимости была в ошибке обработки пользовательских параметров при git push.
Атакующему достаточно было иметь доступ на запись хотя бы в один репозиторий, в том числе созданный им самим, чтобы попытаться выполнить произвольные команды на сервере.
Для GitHub Enterprise Server это могло означать полную компрометацию сервера и доступ ко всем репозиториям и внутренним секретам. На GitHub.com риск был ещё больше: из-за общей бэкенд-инфраструктуры злоумышленник теоретически мог получить доступ к миллионам публичных и закрытых репозиториев, расположенных на затронутых узлах.
GitHub быстро закрыл проблему. Патч для GitHub.com развернули 4 марта, а для в GitHub Enterprise Server дыру закрыли 10 марта. По итогам внутреннего расследования корпорация заявила, что признаков эксплуатации уязвимости в реальных атаках не обнаружено.
Однако для корпоративных пользователей риск всё ещё актуален, если они не обновили свои инсталляции GitHub Enterprise Server. По данным Wiz, на момент публикации значительная часть таких серверов всё ещё оставалась без патча. Поэтому администраторам стоит как можно быстрее перейти на обновлённые версии.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
