В Unity нашли серьёзную уязвимость (CVE-2025-59489), позволяющую запускать произвольный код в играх и приложениях — особенно опасно на Android, а на Windows даёт возможности для повышения привилегий. Да, речь о движке, на котором сделаны тысячи мобильных игр и куча инди проектов — так что проблема масштабная.
Исследователь RyotaK заметил баг ещё в мае (на конференции Meta Bug Bounty Researcher). Причина в том, как Unity обрабатывает аргумент командной строки -xrsdk-pre-init-library — он не проверяется и не очищается.
На Android это означает: если на устройстве есть вредоносное приложение, оно может подсунуть игре свою библиотеку через Intent и заставить игру её загрузить — то есть получить исполнение кода в контексте игры.
На Windows, macOS и Linux похожие пути (не только Intents) тоже возможны — можно менять пути поиска библиотек или подставлять аргументы, если есть соответствующий вектор ввода.
Что это даёт злоумышленнику
На Android — произвольное выполнение нативного кода в пределах прав уязвимого приложения.
На Windows — варианты для повышения привилегий и локального исполнения кода через модификацию путей загрузки библиотек или аргументов. Unity подчёркивает: исполнение кода ограничено правами самой игры, а утечка информации — тем, что доступно приложению.
Компания также утверждает, что уязвимость присутствует в рантайме для версий начиная с 2017.1 и далее, а патчи выпущены для версий с 2019.1 и новее, включая некоторые устаревшие ветки. Старые и уже не поддерживаемые версии патча не получат — так что часть билдов останется уязвимой до пересборки.
В списке уязвимых игр компании указывают : Hearthstone, The Elder Scrolls: Blades, Fallout Shelter, DOOM (2019), Wasteland 3, Forza Customs и другие популярные проекты — то есть и мобильные хиты, и некоторые десктопные версии.
Реакция платформ и компании:
Valve/Steam выпустила обновление клиента, которое блокирует запуск кастомных URI-схем через платформу, чтобы закрыть один из векторов.
Valve рекомендует издателям пересобрать игры на безопасной версии Unity или просто заменить у билда библиотеку UnityPlayer.dll на пропатченную.
Microsoftвыпустила бюллетень с предупреждением и советом — пока нет патча у конкретной игры, лучше её удалить.
Unity выпустила бюллетень и рекомендует разработчикам обновить Unity Editor до свежей ветки, пересобрать и переопубликовать приложения либо заменить рантайм-бинарь на актуальный.
Что делать обычному игроку:
Если игра обновилась и в патче указан фикс — обновляйте и устанавливайте.
Если разработчик ещё не выпустил патч — по возможности удалите игру с устройства (Microsoft прямо рекомендует это для Windows-версий).
На Android следите за тем, какие приложения вы устанавливаете — не давайте лишних прав подозрительным приложениям, особенно если вы играете в популярные Unity-проекты.
Что делать разработчикам:
Немедленно обновить Unity Editor до ближайшей безопасной ветки, пересобрать игру и выпустить обновление.
Если пересборка невозможна, заменить рантайм-библиотеку (UnityPlayer.dll/аналог) в уже выпущенных билдах на пропатченную версию, как советует Valve.
Пересмотреть обработку входных аргументов, проверку путей и загрузку библиотек — и по возможности убрать ненужную функциональность, которая открывает такие векторы.
Unity заявляет, что по состоянию на начало октября активного использования уязвимости не наблюдалось. Но учитывая широкий охват Unity в индустрии, лучше не рассчитывать на удачу — обновления и осторожность сейчас важнее.
Проблема серьёзная, но исправима: игрокам — следить за обновлениями и по возможности временно удалять уязвимые приложения; разработчикам — быстро обновлять редактор и/или подставлять заплатки в рантайм и заново выкатывать сборки. Чем быстрее это сделают массовые издатели, тем быстрее риски снизятся.
По данным сервиса Kaspersky Who Calls, в третьем квартале 2025 года 61% российских пользователей получили хотя бы один подозрительный звонок. Это почти на 22% больше, чем за тот же период прошлого года. Об этом сообщили представители «Лаборатории Касперского» на форуме «Финополис 2025».
Эксперты отмечают, что телефонные мошенники в этом году стали действовать изощрённее.
Всё чаще жертву заставляют саму позвонить злоумышленникам. Сначала человеку приходит сообщение — в мессенджере, на почту или даже через всплывающее уведомление на фейковом сайте — будто кто-то пытается войти в его аккаунт. Чтобы «защитить» данные, предлагают срочно связаться со службой поддержки по указанному номеру.
Дальше — стандартная схема: во время звонка у жертвы выманивают одноразовый код или другую конфиденциальную информацию.
Главный эксперт «Лаборатории Касперского» Сергей Голованов говорит, что схемы телефонного мошенничества становятся всё более разнообразными:
«Злоумышленники могут не только звонить, но и отправлять вредоносные приложения под видом легальных. Часто используют знакомые легенды — звонки от “службы безопасности”, коммунальных служб, курьеров или “поддержки” онлайн-сервисов. Бывают и сезонные трюки — например, сообщения о доставке цветов или о поступлении в вуз».
Чтобы не попасться на уловки, специалисты советуют:
Не передавайте никому пароли, коды из СМС и пуш-уведомлений.
Сразу кладите трубку, если разговор кажется подозрительным.
Не перезванивайте на номера из странных сообщений.
Поставьте определитель номера — он предупредит, если звонок идёт с телефона, на который уже жаловались другие пользователи.
Мошенники становятся всё изобретательнее, но простая бдительность и базовые меры защиты по-прежнему помогают сохранить деньги и нервы.
Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
