Компания Unity, разработчик одного из самых популярных игровых движков в мире, предупредила о критической уязвимости, которая затрагивает проекты, созданные на базе ее инструментария начиная с версии 2017.1. Хотя подтверждений эксплуатации этой проблемы пока нет, Unity рекомендует всем разработчикам действовать без промедления.
"Если вы разработали и выпустили игру или приложение с использованием Unity 2017.1 или более поздней версии для Windows, Android или macOS, необходимо принять меры", — заявил представитель компании Ларри Гриб, более известный как Майор Нельсон.
Уязвимость связана с компонентом Unity Runtime. Согласно отчету Common Vulnerabilities and Exposures (CVE), если приложение собрано с использованием подверженной версии Unity Editor, злоумышленник может выполнить произвольный код на компьютере игрока или пользователя. Это потенциально открывает доступ к личным данным, включая файлы и учетные записи.
Unity выпустила обновления, закрывающие проблему. Партнеры компании — производители платформ и сервисов — также добавили свои защитные механизмы.
Уязвимость подтверждена для:
Windows;
Android;
macOS.
Не зафиксировано риска для:
iOS, tvOS, VisionOS;
Xbox, Nintendo Switch, PlayStation;
UWP, Quest, WebGL.
Valve обновила клиент Steam, усилив защиту.
Microsoft выпустила обновление для Defender, позволяющее обнаруживать и блокировать попытки эксплуатации.
Google и Meta внедрили дополнительные меры безопасности на своих сервисах.
Таким образом, даже если приложение уязвимо, конечные пользователи частично защищены благодаря экосистемам самих платформ.
| Компания / платформа | Принятые меры |
| Unity | Выпустила патчи для редактора и движка |
| Valve (Steam) | Внедрила механизмы блокировки эксплойта |
| Microsoft | Обновила Defender для обнаружения уязвимости |
| Усилила проверку приложений | |
| Meta | Добавила защиту в Quest и смежных сервисах |
Проверить, какая версия Unity использовалась при сборке приложения или игры.
Сравнить ее с актуальными патчами, выпущенными Unity.
Пересобрать проект на исправленной версии движка.
Выпустить обновление для пользователей.
Уведомить игроков о необходимости загрузить новую версию.
Ошибка: оставить проект на старой версии Unity.
→ Последствие: риск взлома пользователей.
→ Альтернатива: обновить и пересобрать приложение.
Ошибка: полагаться только на защиту платформ (Steam, Defender).
→ Последствие: потенциальный обход защит злоумышленниками.
→ Альтернатива: исправить уязвимость на уровне игры.
Ошибка: игнорировать уведомления от Unity.
→ Последствие: потеря доверия аудитории и возможные судебные иски.
→ Альтернатива: оперативно выпускать патчи.
Пока случаев эксплуатации не выявлено. Но если ситуация изменится, атаки могут затронуть миллионы пользователей: от геймеров на Windows до владельцев Android-смартфонов. В этом случае первыми пострадают проекты, давно не обновлявшиеся разработчиками.
| Плюсы | Минусы |
| Уязвимость обнаружена и закрыта до массовых атак | Угроза безопасности существовала с 2017 года |
| Партнеры (Steam, Microsoft и др.) усилили защиту | Разработчикам придется срочно пересобирать игры |
| Конечных пользователей пока не затронуло | Возможные репутационные потери для Unity |
Какие версии Unity уязвимы?
Все проекты, созданные на Unity 2017.1 и более поздних версиях для Windows, Android и macOS.
Что должны сделать разработчики?
Обновить движок, пересобрать проекты и выпустить патчи.
Затронуты ли игровые консоли?
Нет, подтверждений угрозы для Xbox, PlayStation и Nintendo Switch нет.
Миф: проблема касается только новых игр.
Правда: уязвимость затрагивает все проекты с 2017 года.
Миф: достаточно защиты Microsoft Defender.
Правда: надежность возможна только при пересборке игр на исправленной версии Unity.
Миф: iOS-приложения тоже под угрозой.
Правда: Apple-платформы в список риска не входят.
Unity используется в тысячах игр — от мобильных хитов до VR-приложений.
В 2024 году на Unity работали более 70% всех мобильных игр на рынке.
Майор Нельсон (Ларри Гриб), сделавший заявление, ранее был одним из публичных лиц Xbox.
2017 год: выход версии Unity 2017.1, впервые содержащей уязвимый код.
2020-е годы: движок становится стандартом для мобильных и кроссплатформенных игр.
2025 год: уязвимость обнаружена, Unity и партнеры выпускают срочные патчи.