Unity se ha puesto en contacto con los desarrolladores después de descubrir una importante vulnerabilidad que afecta a los juegos creados con su plataforma desde el 2017. El fallo de seguridad ha sido corregido con la última versión del motor gráfico, pero es lo suficientemente importante como para que Unity haya instado a los estudios a tomar "medidas inmediatas".
Según Unity, no existe evidencia de que nadie haya sacado partido de la vulnerabilidad ni se ha detectado ningún impacto entre los usuarios o clientes. Los desarrolladores deben tomar medidas si han creado y publicado un juego o una aplicación con Unity 2017.1 o superior para Windows, Android, Linux y macOS, según ha informado Larry Hyrb, también conocido como Major Nelson. Hyrb asegura que de forma proactiva han proporcionado soluciones que abordan la vulnerabilidad y que ya están disponibles para todos los equipos y estudios.
Numerosos desarrolladores ya han actualizado sus juegos, mientras que otros trabajan en ello y mientras lo hacen han preferido retirar sus títulos de las tiendas digitales. Este es el caso de Obsidian Entertainment, que temporalmente ha cesado las ventas de Grounded 2 Founders Edition, Avowed Premium Edition, Pillars of Eternity: Hero Edition, Pillars of Eternity II: Deadfire y Pentiment. Incluso algunos juegos que usan Unreal Engine como Avowed han sido eliminados de las tiendas debido a que usan partes de Unity para el libro de ilustraciones digital. Es por este motivo que solo se retira la edición prémium y no el resto.
Las plataformas y servicios de terceros también están actuando. Por ejemplo, Valve ha actualizado Steam para mitigar la vulnerabilidad, y Microsoft Defender se ha actualizado para detectar y bloquear la posible explotación del fallo de seguridad. Por otro lado, hay que tener en cuenta que Unity se usa en aplicaciones para móviles que no son juegos. A día de hoy no hay datos que sugieran que la vulnerabilidad se pueda ejecutar en iOS, tvOS, vision OS, Xbox, Nintendo Switch, PlayStation, Universal Windows Platform, Meta Quest y WebGL.
La urgencia de Unity a la hora de pedir a los desarrolladores que tomen medidas se debe tanto al alcance de la vulnerabilidad como al riesgo que supone. Según la descripción de CVE, una aplicación creada con una versión vulnerable de Unity permite a un atacante ejecutar código y sustraer información confidencial del equipo en el que se ejecuta esa aplicación.
