Os desenvolvedores são incentivados a corrigir os jogos imediatamente, pois a principal falha de segurança do Unity foi descoberta após 8 anos

Uma vulnerabilidade de segurança crítica que estava ociosa no mecanismo do Unity desde 2017 foi exposta da Unity desde 2017 foi agora exposta. Após a descoberta, os desenvolvedores de todo o mundo receberam um aviso da plataforma de desenvolvimento, com notificações imediatas pedindo aos desenvolvedores que recompilassem e republicassem seus jogos para proteger os usuários.

A vulnerabilidade CVE-2025-59489 permite a execução arbitrária de código por meio da injeção de argumentos no Unity Runtime, permitindo que possíveis invasores com acesso local carreguem bibliotecas maliciosas e aumentem seus privilégios.

A vulnerabilidade foi descoberta em 4 de junho de 2025 pelo pesquisador de segurança RyotaK, da GMO Flatt Security Inc. A vulnerabilidade de segurança afeta jogos e aplicativos desenvolvidos com o Unity versão 2017.1 e posteriores em Android, Linux e macOS.

De acordo com o CVSS, o Sistema de Pontuação de Vulnerabilidade Comum, que é um método usado para medir a gravidade de uma vulnerabilidade de software, o Unity 2017.1 tem uma pontuação "Alta" de 8,4 em 10.

A Unity divulgou essa vulnerabilidade em 2 de outubro de 2025, informando que as correções serão lançadas no mesmo dia para as versões do Unity Editor a partir da versão 2019.1, juntamente com uma ferramenta de correção binária para a adaptação de compilações que remontam à versão 2017.1.

Em seu comunicado oficial de segurança, aa Unity insistiu: "Não há evidência de qualquer exploração ou vulnerabilidade, nem houve qualquer impacto sobre os usuários ou clientes" A Unity afirmou ainda: "Fornecemos proativamente correções que abordam a vulnerabilidade, e elas já estão disponíveis para todos os desenvolvedores"

A Unity terminou a postagem de consultoria com estas observações finais: "A Unity se dedica à segurança e à integridade de nossa plataforma, de nossos clientes e da comunidade em geral. A comunicação transparente é fundamental para esse compromisso, e continuaremos a fornecer atualizações conforme necessário."

Essa descoberta causou histeria em massa em todo o setor, já que os principais estúdios e desenvolvedores independentes correram para atualizar os títulos, o que levou a remoções temporárias das lojas. A Obsidian Entertainment retirou vários jogos desenvolvidos em Unity, incluindo Pillars of Eternity II: Deadfire e Pentiment, em 3 de outubro. A desenvolvedora de Among Us, Innersloth, e a Marvel Snap's Second Dinner também confirmaram correções para seus títulos móveis.

Da mesma forma, a PsychoFlux Entertainment corrigiu 11 jogos do Steam, como Gravity Castle e Fingerdance, enquanto o Tenbris Studio atualizou seu jogo de terror "Your Computer Might be At Risk" no Steam.

O episódio mostra que vulnerabilidades não encontradas ainda estão à espreita no código legado. No entanto, a resposta rápida da Unity pode ter limitado as consequências que, de outra forma, estariam em jogo para um mecanismo de jogo que alimenta cerca de 750.000 jogos, desde títulos AAA até indies.

Compre Learning C# by Developing Games with Unity na Amazon