.png)
há 4 dias
10
Pesquisadores da GMO Flatt Security Inc. revelaram uma vulnerabilidade crítica no Unity Runtime (CVE-2025-59489) que permite a execução de código arbitrário em sistemas que rodem aplicativos construídos com Unity, incluindo Android, Windows, Linux e macOS. A falha afeta todos os projetos criados com Unity Editor 2017.1 ou superior, colocando em risco milhares de jogos e apps populares.
Leia também
ISACA aponta queda no treinamento de profissionais para cibersegurança
Quadrilha de ransomware ataca clientes da Salesforce
O problema ocorre porque aplicativos Unity exportam automaticamente uma atividade chamada UnityPlayerActivity, que aceita argumentos de linha de comando via Unity extra. Um argumento específico, -xrsdk-pre-init-library, é processado pelo runtime para carregar uma biblioteca nativa usando dlopen(). Um invasor pode apontar este argumento para uma biblioteca maliciosa (.so), permitindo execução de código no processo do aplicativo. Em certos cenários, o ataque pode ser iniciado remotamente por meio de websites maliciosos que disparam a aplicação com parâmetros manipulados.
A vulnerabilidade afeta aplicações Android que aceitam Intents maliciosos, Windows e macOS via URI handlers ou argumentos externos. Embora políticas de segurança como SELinux reduzam o risco em alguns casos, apps que armazenam conteúdo controlado por atacantes ainda podem ser explorados.
A Unity Technologies lançou em 2 de outubro de 2025 um patch para todas as versões suportadas a partir do Unity 2019.1. Para desenvolvedores que não podem recompilar builds completos, foi disponibilizada a ferramenta Unity Binary Patch. A Valve atualizou o cliente Steam para bloquear parâmetros vulneráveis, e a Microsoft emitiu orientações para desinstalar temporariamente apps afetados e usar o Defender para impedir exploração.
Impacto geral: cerca de 70% dos jogos móveis utilizam Unity, o que significa que milhões de usuários podem estar vulneráveis. Xbox, Xbox Cloud Gaming e iOS não são afetados.
English (US) · 
Portuguese (BR) ·