Una vulnerabilità critica nel motore Unity, identificata come CVE-2025-59489, ha spinto Steam (Valve) e Microsoft a lanciare avvisi urgenti alla comunità di sviluppatori e giocatori. Il difetto, scoperto dal ricercatore RyotaK di GMO Flatt Security e presentato durante la conferenza Meta Bug Bounty Researcher, consente esecuzione di codice arbitrario e accesso non autorizzato a file locali su più piattaforme, tra cui Android, Windows, macOS e Linux. La falla risiede nel componente Unity Runtime, usato per caricare librerie e gestire rendering e scripting nei giochi, e colpisce le versioni del motore a partire dalla 2017.1. Unity ha rilasciato patch urgenti e linee guida per sviluppatori e publisher, mentre Valve e Microsoft hanno attivato misure preventive per ridurre i rischi di exploit nei giochi già distribuiti.
Cosa leggere
La vulnerabilità CVE-2025-59489 nel motore Unity
Il problema nasce da una gestione errata dell’argomento di comando “-xrsdk-pre-init-library”, che Unity utilizza per caricare librerie native durante l’inizializzazione. L’input non viene validato né sanificato, consentendo a un attaccante di iniettare percorsi malevoli o file non sicuri nel flusso di caricamento. Questo difetto permette, in condizioni specifiche, l’esecuzione di codice arbitrario e la disclosure di informazioni locali. Su Android, RyotaK ha dimostrato che un’app malevola installata sullo stesso dispositivo può sfruttare gli Android Intents per forzare un gioco o un’app Unity vulnerabile a caricare una libreria contaminata, ottenendo così l’esecuzione di codice con i privilegi del gioco target. Su Windows e altre piattaforme desktop, la falla può comportare escalation di privilegi tramite manipolazione dei library search paths, con rischi potenzialmente estesi a dati sensibili o file di sistema.
Avvisi e mitigazioni da Valve e Microsoft
Valve ha reagito immediatamente implementando un aggiornamento al client Steam per bloccare l’esecuzione di schemi URI personalizzati che potevano essere sfruttati per avviare exploit remoti. La società ha inoltre consigliato ai publisher di ricostruire i propri giochi con versioni aggiornate di Unity o di sostituire i file UnityPlayer.dll con quelli patchati distribuiti ufficialmente. Parallelamente, Microsoft ha emesso bollettini di sicurezza per informare gli utenti Windows sui rischi di privilege escalation e ha raccomandato di disinstallare temporaneamente i giochi vulnerabili in attesa degli aggiornamenti correttivi. L’elenco dei titoli potenzialmente affetti include Hearthstone, The Elder Scrolls: Blades, Fallout Shelter, DOOM (2019), Wasteland 3 e Forza Customs, tutti basati su versioni Unity precedenti al 2019.1. Entrambe le aziende hanno confermato di non aver osservato exploit attivi al 2 ottobre 2025, ma mantengono un monitoraggio costante attraverso i rispettivi canali di sicurezza.
Patch, versioni interessate e risposta di Unity
Unity Technologies ha rilasciato aggiornamenti correttivi per le versioni del motore a partire dalla 2019.1, comprese build precedentemente fuori supporto, per arginare la falla nel modulo Runtime. Le versioni più vecchie, come 2017.x e 2018.x, non riceveranno patch ufficiali, e gli sviluppatori sono invitati a migrare i progetti su versioni recenti dell’editor. Le correzioni eliminano la vulnerabilità validando i percorsi di libreria e impedendo il caricamento di file non firmati o esterni al contesto di sicurezza dell’applicazione. Unity ha inoltre rilasciato un bollettino tecnico dettagliato con le istruzioni per la sostituzione diretta dei binari patchati, riducendo i tempi di aggiornamento senza necessità di rebuild completo. L’azienda incoraggia a ricompilare e ridistribuire i giochi tramite le piattaforme digitali per garantire protezione immediata agli utenti finali.
Analisi tecnica dell’exploit e impatto multipiattaforma
Secondo l’analisi di RyotaK, la falla sfrutta il modo in cui Unity Runtime gestisce gli input esterni durante la fase di pre-inizializzazione delle librerie XR. Su Android, l’attaccante può sfruttare un intent manipolato per forzare il caricamento di una libreria malevola tramite il parametro vulnerabile, ottenendo code execution con privilegi del processo di gioco.
Su Windows, invece, l’attacco avviene tramite parametri di avvio contaminati che alterano i percorsi di ricerca delle DLL. Meccanismi simili sono stati osservati su macOS e Linux, dove i percorsi di libreria possono essere modificati attraverso variabili ambientali o argomenti di comando non sanitizzati. In tutti i casi, l’esecuzione del codice avviene nei limiti dei privilegi dell’app, ma può consentire accesso a dati locali sensibili o l’esecuzione di script che compromettono la sicurezza del sistema. L’assenza di sanitizzazione input è la causa principale della vulnerabilità, ora risolta nelle build patchate del motore.
Rischi e impatto sull’ecosistema del gaming
L’impatto della CVE-2025-59489 è significativo per l’intero ecosistema gaming. Unity è impiegato in migliaia di giochi mobile e PC, comprese numerose produzioni indipendenti e mid-tier. La falla interessa non solo il gaming, ma anche applicazioni 3D in tempo reale utilizzate in architettura, simulazione industriale e realtà aumentata. Gli sviluppatori stanno già distribuendo aggiornamenti ricompilati, mentre piattaforme come Steam hanno iniziato a verificare automaticamente le build caricate per assicurare la presenza delle versioni patchate del runtime. La risposta coordinata di Unity, Valve e Microsoft dimostra una crescente attenzione alla sicurezza dell’industria videoludica, tradizionalmente vulnerabile a exploit legati ai motori grafici e ai framework cross-platform.
Raccomandazioni per utenti e sviluppatori
Gli utenti dovrebbero mantenere aggiornati client e giochi, evitando l’esecuzione di titoli non aggiornati. Gli sviluppatori sono invitati a installare l’ultima versione dell’editor Unity, sostituire i file runtime vulnerabili e ricompilare i progetti. Unity ha diffuso un security guide con procedure passo-passo per verificare le build e garantire compatibilità con le patch. Le organizzazioni che distribuiscono giochi su larga scala dovrebbero implementare analisi automatizzate dei binari per individuare versioni vulnerabili e aggiornare tempestivamente i repository. L’adozione di validazioni input più rigorose e sandboxing dei processi ridurrà il rischio di exploit futuri, proteggendo sia i giocatori sia le infrastrutture delle piattaforme digitali.
