Unity Technologies ha annunciato una vulnerabilità critica che ha messo a rischio milioni di giochi e applicazioni create con questo popolare motore di sviluppo. Il problema, identificato come CVE-2025-59489, è stato scoperto il 4 giugno 2025 dal ricercatore di sicurezza RyotaK di GMO Flatt Security Inc. Tuttavia, la sua esistenza risale al 2017, rimanendo nascosto nel codice per otto anni.
Questa falla di sicurezza permette l’esecuzione di codice arbitrario attraverso l’iniezione di argomenti in Unity Runtime. Potenzialmente consente a malintenzionati con accesso locale di caricare librerie malevole e elevare i propri privilegi sul sistema. Secondo il Common Vulnerability Scoring System (CVSS), la vulnerabilità ha ricevuto un punteggio di 8.4 su 10; la sua gravità è classificata come “Alta“.
L’impatto di questa vulnerabilità è preoccupante considerando che Unity alimenta circa 750.000 giochi; da titoli AAA a produzioni indipendenti.
Vulnerabilità in Unity: dettagli tecnici
La vulnerabilità CVE-2025-59489 sfrutta un meccanismo di caricamento non sicuro dei file e inclusioni di file locali, variando a seconda del sistema operativo. Porta all’esecuzione di codice o all’accesso non autorizzato allo stesso livello di privilegi dell’applicazione. Tecnicamente, il problema risiede nel modo in cui Unity Runtime gestisce determinati argomenti; permette a un attaccante di manipolare il flusso di esecuzione per caricare librerie malevole.
Le piattaforme direttamente interessate da questa falla includono Windows, Android, macOS e Linux. Sono rimaste fuori dal pericolo diretto console come PlayStation, Xbox e Nintendo Switch, oltre a iOS. Unity ha specificato che la vulnerabilità è presente in tutte le versioni del motore a partire dalla 2017.1 in poi; copre quindi quasi 8 anni di sviluppo.
È interessante tuttavia come alcune piattaforme siano immuni al problema. Questo suggerisce che le implementazioni di Unity Runtime per console e iOS adottino meccanismi di sicurezza più robusti; oppure, le architetture diverse mitigano questo tipo di attacco. Molte applicazioni e giochi sviluppati con Unity sono eseguiti con privilegi elevati sui sistemi degli utilizzatori; quindi, il potenziale danno che un attacco di questo tipo potrebbe causare è amplificato. Unity ha dichiarato che “non ci sono evidenze di sfruttamento della vulnerabilità né ci sono stati impatti su utilizzatori o clienti“. Ma la natura di questa falla lascia intendere che un attacco mirato potrebbe essere particolarmente difficile da rilevare.
Patch, strumenti e raccomandazioni per gli sviluppatori
Di fronte alla minaccia, Unity Technologies ha reagito con relativa rapidità, sviluppando e distribuendo diverse soluzioni per mitigare il rischio. Sono disponibili patch per Unity Editor a partire dalla versione 2019.1; includono aggiornamenti per le versioni 6000.3.0b4, 6000.2.6f2, 6000.0.58f2 e per tutti i rami 2021, 2022 e 2023. Per le versioni più datate e non più supportate ufficialmente, Unity ha esteso il supporto con fix per le versioni a partire da Unity 2019.1; sebbene le release precedenti rimangano senza patch.
Un’altra soluzione introdotta è un strumento di patch binaria; permette agli sviluppatori di aggiornare i giochi già pubblicati senza doverli ricompilare completamente. Rappresenta un’opzione preziosa per coloro che mantengono titoli più vecchi o che non hanno più accesso al codice sorgente originale. Tuttavia, presenta una limitazione importante: non funziona per i giochi che utilizzano soluzioni anti-cheat. Questa categoria comprende molti dei giochi multiplayer più popolari.
Inoltre, Unity collabora con partner di distribuzione come Microsoft Store e Steam per distribuire proattivamente le patch. Altre misure di sicurezza implementate includono l’aggiornamento di Windows Defender per fornire protezione contro questa vulnerabilità; così come il potenziamento dei sistemi anti-malware su Android.
Anche Valve conferma l’emissione di aggiornamenti di sicurezza per Steam. Unity raccomanda agli sviluppatori che utilizzano gestori URI personalizzati in ambienti Windows di contattare direttamente l’azienda; queste configurazioni aumentano la probabilità di sfruttamento.
Vulnerabilità in Unity: conclusioni
La scoperta di questa vulnerabilità ha scatenato una corsa agli aggiornamenti. Alcuni distributori hanno rimosso temporaneamente dai loro store giochi non aggiornati, come politica precauzionale per proteggere i loro clienti. Tra questi, Obsidian Entertainment ha ritirato diversi giochi sviluppati con Unity, tra cui Pillars of Eternity II: Deadfire e Pentiment, il 3 ottobre.
Innersloth, sviluppatore di Among Us, e Second Dinner, creatore di Marvel Snap, hanno confermato di aver applicato patch ai loro titoli mobile. PsychoFlux Entertainment ha patchato 11 giochi su Steam come Gravity Castle e Fingerdance; mentre Tenbris Studio ha aggiornato il suo gioco horror Your Computer Might Be At Risk sulla stessa piattaforma.
Anche titoli di grande successo come Cities Skylines 2 e Two Point Museum hanno ricevuto aggiornamenti di sicurezza in risposta alla minaccia.
Il fatto che una falla di questa portata sia rimasta inosservata per ben otto anni solleva interrogativi sui processi di revisione del codice e sui protocolli di sicurezza adottati non solo da Unity, ma dall’intero settore.
