В начале октября 2025 года значительная часть игровой индустрии столкнулась с угрозой, внезапно исходящей из популярного движка Unity. Разработчики софта экстренно сообщили о критической уязвимости, которая скрывалась в коде движка на протяжении восьми (!) лет.
Брешь поставила под удар безопасность миллионов игроков по всему миру, использующих системы Windows, macOS, Linux и Android. Хотя доказательств реальных атак пока нет, сам факт многолетнего существования такой лазейки заставил многих разработчиков срочно выпускать патчи, а игроков – начать проверять обновления для своих любимых проектов. CyberMeta подробно рассказывает о новой критической уязвимости движка Unity, обнаруженной Unity Technologies в начале октября 2025 года.
Суть проблемы
2 октября 2025 года компания Unity Technologies опубликовала официальное предупреждение об уязвимости, получившей идентификатор CVE-2025-59489 и высочайший за всю историю балл по шкале CVSS – 8,4 из 10. Это не просто технический сбой, а «критическая брешь в безопасности», присутствовавшая в движке, по словам компании, с января 2017 года.
Суть проблемы заключается в механизме небезопасной загрузки файлов и возможности локального включения файлов (PHP-инъекции) в зависимости от операционной системы. На практике это означало, что злоумышленник, используя специально сконструированные данные, мог обмануть игру или приложение на Unity. В результате вредоносный код мог быть загружен и выполнен на устройстве пользователя с теми же правами, что и у самого приложения. Последствия такого взлома могут быть разными, но одинаково неприятными: от кражи конфиденциальной информации (логинов, паролей, личных файлов) до полного взятия контроля над системой жертвы.
Уязвимость была обнаружена сторонним специалистом по безопасности, не работающем в Unity Technologies, ещё 4 июня 2025 года. На изучение и создание исправлений у самой Unity ушло почти четыре месяца – фикс был выпущен лишь 2 октября. Компания немедленно призвала разработчиков игр «незамедлительно» скачать обновлённые версии движка через Unity Hub и перекомпилировать, а затем перевыпустить свои игры и приложения.
За первые сутки после освещения событий Valve обновила клиент Steam, встроив в него дополнительную защиту. Microsoft выпустила обновление для защитника Windows Defender, чтобы тот мог блокировать потенциальные атаки. Меры также приняли Google и другие крупные компании, чьи платформы могли быть затронуты уязвимостью Unity.
Какие игры имеют уязвимость?
С одной стороны, Unity поступила ответственно, предупредив сообщество и позволив устранить угрозу. С другой – до заявления компании действительно не было зафиксировано ни одного факта эксплуатации этой уязвимости. Таким образом, широкое оповещение само по себе привлекло к «бреши» всеобщее внимание, включая внимание потенциальных злоумышленников, которые могли о ней не знать. Вполне вероятно, что компания, пытаясь обезопасить миллионы пользователей, невольно создала временное «окно» для хакеров, пока разработчики игр спешно выпускают патчи.
Под угрозой оказалось колоссальное число проектов: практически все игры и приложения, созданные на Unity версий 2017.1 и новее. Это тысячи популярных тайтлов, выпущенных за последние восемь лет (Cuphead, Hollow Knight, Genshin Impact, Call of Duty Mobile и ещё сотни менее известных проектов). Unity оперативно выпустила исправления для всех поддерживаемых веток, включая:
- ветку 2023 LTS: версии 6000.0.58f2, 6000.2.6f2 и 6000.3.0b4;
- ветки 2022 и 2021 LTS;
- даже устаревшие версии, начиная с Unity 2019.1, получили патчи.
На момент написания материала известно, что ряд студий отреагировали быстрее остальных. Например, Cities: Skylines 2 (Colossal Order) и Two Point Museum (Two Point Studios) уже получили обновления безопасности. Разработчики Sons of the Forest и V Rising в лице студий Endnight Games и Stunlock публично предупредили своих игроков о проблеме и работают над выпуском патчей. Последняя компания прямо рекомендовала фанатам быть крайне осторожными с любыми модами, пока их игра не будет обновлена.
При этом Unity отметила, что многие проекты могли быть обновлены «тихо» и без громких анонсов. Некоторые компании, подобно Obsidian Entertainment, пошли на крайние меры, временно сняв свои игры с продажи до полного устранения уязвимости. Например, так выглядит список временно удалённых из магазинов проектов от упомянутого разработчика:
- Grounded 2 Founders Edition;
- Grounded 2 Founders Pack;
- Avowed Premium Edition;
- Avowed Premium Edition Upgrade;
- Pillars of Eternity: Hero Edition;
- Pillars of Eternity: Definitive Edition;
- Pillars of Eternity II: Deadfire;
- Pillars of Eternity II: Deadfire Ultimate;
- Pentiment.
Напомним, что одной из последних популярных игр, выпущенных на базе движка Unity, была Hollow Knight: Silksong от Team Cherry. С момента релиза 4 сентября 2025 года максимальный одновременный онлайн проекта составил более 450 тысяч человек.
