Utvecklare uppmanas att omedelbart patcha spel när stort säkerhetsbrist i Unity upptäcks efter 8 år

Unity-logotypen mot en svart bakgrund (bildkälla: Unity)

En kritisk Unity-sårbarhet (CVE-2025-59489), upptäckt den 4 juni 2025 av forskaren RyotaK, möjliggör godtycklig kodkörning i titlar som kör äldre versioner av spelmotorn. Unity har sedan dess publicerat patchar, inklusive en binär patcher den 2 oktober, och uppmanat utvecklare att omedelbart kompilera om och publicera sina titlar på nytt, även om det ännu inte finns några bevis för utnyttjande.

Rahim Amir Noorali (översatt av Ninh Duy), Publicerad 10/06/2025 🇺🇸 🇷🇺 ...

En kritisk säkerhetssårbarhet som har legat i träda i Unitys motor sedan 2017 har nu blivit exponerad. När sårbarheten upptäcktes fick utvecklare över hela världen en varning från utvecklingsplattformen, med meddelanden som omedelbart uppmanade utvecklare att kompilera om och publicera sina spel på nytt för att skydda användarna.

Sårbarheten CVE-2025-59489 möjliggör godtycklig kodkörning genom argumentinjektion i Unity Runtime, vilket gör det möjligt för potentiella angripare med lokal åtkomst att ladda skadliga bibliotek och eskalera sina privilegier.

Sårbarheten upptäcktes den 4 juni 2025 av säkerhetsforskaren RyotaK från GMO Flatt Security Inc. Sårbarheten påverkar spel och appar som är byggda med Unity version 2017.1 och senare på Android, Linux och macOS.

Enligt CVSS, Common Vulnerability Scoring System, som är en metod som används för att mäta allvarlighetsgraden av en mjukvarusårbarhet, får Unity 2017.1 en "hög" 8,4 av 10.

Unity avslöjade denna sårbarhet den 2 oktober 2025 och uppmanade att korrigeringar kommer att rullas ut samma dag för Unity Editor-versioner från och med 2019.1, tillsammans med ett binärt patcherverktyg för retrofitting-byggnader som går tillbaka till 2017.1.

I sitt officiella säkerhetsrådinsisterade Unity på att "Det finns inga bevis för någon exploatering eller sårbarhet, och det har inte heller haft någon inverkan på användare eller kunder." Unity uppgav vidare: "Vi har proaktivt tillhandahållit korrigeringar som adresserar sårbarheten, och de är redan tillgängliga för alla utvecklare."

Unity avslutade sitt meddelande med dessa avslutande kommentarer: "Unity är dedikerad till säkerheten och integriteten för vår plattform, våra kunder och samhället i stort. Transparent kommunikation är centralt för detta åtagande, och vi kommer att fortsätta att tillhandahålla uppdateringar vid behov."

Denna upptäckt orsakade masshysteri över hela branschen eftersom stora studior och indie devs tävlade för att uppdatera titlar, vilket ledde till tillfälliga borttagningar av butiksfönster. Obsidian Entertainment drog tillbaka flera Unity-byggda spel, inklusive Pillars of Eternity II: Deadfire och Pentiment, den 3 oktober. Among Us-utvecklaren Innersloth och Marvel Snap's Second Dinner bekräftade också korrigeringar för sina mobiltitlar.

På samma sätt har PsychoFlux Entertainment enligt uppgift patchat 11 Steam-spel som Gravity Castle och Fingerdance, medan Tenbris Studio uppdaterade sitt skräckspel "Your Computer Might be At Risk" på Steam.

Avsnittet visar att oupptäckta sårbarheter fortfarande lurar i äldre kod. Unitys snabba svar kan dock ha begränsat nedfallet som annars skulle vara i spel för en spelmotor som driver så många som 750 000 spel, allt från AAA-titlar till indies.

Köp Learning C# by Developing Games with Unity på Amazon