Unity se ha puesto en contacto con los desarrolladores después de descubrir una importante vulnerabilidad que afecta a los juegos creados con su plataforma desde el 2017. El fallo de seguridad ha sido corregido con la última versión del motor gráfico, pero es lo suficientemente importante como para que Unity haya instado a los estudios a tomar "medidas inmediatas".
Según Unity, no existe evidencia de que nadie haya sacado partido de la vulnerabilidad ni se ha detectado ningún impacto entre los usuarios o clientes. Los desarrolladores deben tomar medidas si han creado y publicado un juego o una aplicación con Unity 2017.1 o superior para Windows, Android, Linux y macOS, según ha informado Larry Hyrb, también conocido como Major Nelson. Hyrb asegura que de forma proactiva han proporcionado soluciones que abordan la vulnerabilidad y que ya están disponibles para todos los equipos y estudios.
Numerosos desarrolladores ya han actualizado sus juegos, mientras que otros trabajan en ello y mientras lo hacen han preferido retirar sus títulos de las tiendas digitales. Este es el caso de Obsidian Entertainment, que temporalmente ha cesado las ventas de Grounded 2 Founders Edition, Avowed Premium Edition, Pillars of Eternity: Hero Edition, Pillars of Eternity II: Deadfire y Pentiment. Incluso algunos juegos que usan Unreal Engine como Avowed han sido eliminados de las tiendas debido a que usan partes de Unity para el libro de ilustraciones digital. Es por este motivo que solo se retira la edición prémium y no el resto.
Las plataformas y servicios de terceros también están actuando. Por ejemplo, Valve ha actualizado Steam para mitigar la vulnerabilidad, y Microsoft Defender se ha actualizado para detectar y bloquear la posible explotación del fallo de seguridad. Por otro lado, hay que tener en cuenta que Unity se usa en aplicaciones para móviles que no son juegos. A día de hoy no hay datos que sugieran que la vulnerabilidad se pueda ejecutar en iOS, tvOS, vision OS, Xbox, Nintendo Switch, PlayStation, Universal Windows Platform, Meta Quest y WebGL.
La urgencia de Unity a la hora de pedir a los desarrolladores que tomen medidas se debe tanto al alcance de la vulnerabilidad como al riesgo que supone. Según la descripción de CVE, una aplicación creada con una versión vulnerable de Unity permite a un atacante ejecutar código y sustraer información confidencial del equipo en el que se ejecuta esa aplicación.
Según Unity, no existe evidencia de que nadie haya sacado partido de la vulnerabilidad ni se ha detectado ningún impacto entre los usuarios o clientes. Los desarrolladores deben tomar medidas si han creado y publicado un juego o una aplicación con Unity 2017.1 o superior para Windows, Android, Linux y macOS, según ha informado Larry Hyrb, también conocido como Major Nelson. Hyrb asegura que de forma proactiva han proporcionado soluciones que abordan la vulnerabilidad y que ya están disponibles para todos los equipos y estudios.
Numerosos desarrolladores ya han actualizado sus juegos, mientras que otros trabajan en ello y mientras lo hacen han preferido retirar sus títulos de las tiendas digitales. Este es el caso de Obsidian Entertainment, que temporalmente ha cesado las ventas de Grounded 2 Founders Edition, Avowed Premium Edition, Pillars of Eternity: Hero Edition, Pillars of Eternity II: Deadfire y Pentiment. Incluso algunos juegos que usan Unreal Engine como Avowed han sido eliminados de las tiendas debido a que usan partes de Unity para el libro de ilustraciones digital. Es por este motivo que solo se retira la edición prémium y no el resto.
Las plataformas y servicios de terceros también están actuando. Por ejemplo, Valve ha actualizado Steam para mitigar la vulnerabilidad, y Microsoft Defender se ha actualizado para detectar y bloquear la posible explotación del fallo de seguridad. Por otro lado, hay que tener en cuenta que Unity se usa en aplicaciones para móviles que no son juegos. A día de hoy no hay datos que sugieran que la vulnerabilidad se pueda ejecutar en iOS, tvOS, vision OS, Xbox, Nintendo Switch, PlayStation, Universal Windows Platform, Meta Quest y WebGL.
La urgencia de Unity a la hora de pedir a los desarrolladores que tomen medidas se debe tanto al alcance de la vulnerabilidad como al riesgo que supone. Según la descripción de CVE, una aplicación creada con una versión vulnerable de Unity permite a un atacante ejecutar código y sustraer información confidencial del equipo en el que se ejecuta esa aplicación.
Un palo bastante duro, y desde el desconocimiento, pregunto: ¿Qué supone actualizar el motor siendo desarrollador? ¿Habría que reestructurar todo el código o sería ajustar parámetros concretos sin tener que profundizar mucho? Para desarrolladoras independientes con pocos trabajadores tiene que ser un palazo, y habrá juegos por ahí que se siguen jugando aunque lleven años sin actualizaciones, y a saber si el desarrollador está dispuesto a actualizar el motor.
Por otro lado, como ejemplo, se me ocurre Escape from Tarkov (el vivo ejemplo de cómo hacer las cosas mal en general), una empresa grande, que ha ganado mucho dinero, y que siempre va atrasada usando Unity, a saber cómo lo solventan por que queda un mes para el lanzamiento oficial.
Claramente el bug tiene que ser gordo si han desplegado parches para todas las versiones de unity desde 2019 (no te obligan a pasar a Unity6, pero si al menos a 2019), por tanto no es un movimiento pensado para que pases a Unity6 que tiene otras condiciones diferentes (tras el escandalo conocido).
Pero bueno, retirar los juegos me parece excesivo.
Se recompila con el parche, update pequeña que descargar en Steam o en la store correspondiente con el fix aplicado y a correr.
https://unity.com/es/security/sept-2025-01
Que no haya evidencia de explotación es porque todavía no lo han detectado. Pero seguro que si han detectado la vulnerabilidad es que alguna PoC les ha llegado por parte de "Discovered By: RyotaK of GMO Flatt Security Inc." como dice en tu enlace. Un japonés que trabaja para una empresa de ciberseguridad.
https://flatt.tech/research/posts/arbit ... y-runtime/
(embed)