Unity har täppt till en säkerhetslucka som legat gömd i spelmotorn i nästan åtta år. Buggen, som fått beteckningen CVE-2025-59489 och ett högt allvarlighetsbetyg på 8,4, kan utnyttjas för att köra skadlig kod eller komma åt känslig information via osäker filhantering i motorn. Den påverkar spel och appar byggda i Unity från version 2017.1 och framåt på både Windows, macOS, Linux och Android.
Företaget betonar att man ännu inte sett några faktiska attacker, men att risken finns och att utvecklare därför bör agera snabbt. Problemet är dock att det inte räcker med en enkel uppdatering för slutanvändare. För att få bort sårbarheten måste spel byggas om i en uppdaterad Unity Editor eller behandlas med det särskilda patch-verktyg som Unity tagit fram. Det sistnämnda verktyget rekommenderas dock inte annat än som en nödlösning, då det kan skapa problem med kopieringsskydd eller antifusk-mjukvara.
För spelare innebär det här att det är upp till varje studio att distribuera uppdateringar. Några av de större plattformarna, som Steam och Microsoft, har visserligen infört egna skydd, men en permanent lösning kräver en uppdaterad version av spelet. Resultatet kan bli att moderna titlar får patchar relativt snabbt, medan äldre spel riskerar att lämnas kvar med sårbarheten intakt.
Händelsen belyser baksidan av att så många spel bygger på samma motor: när en brist väl upptäcks blir konsekvenserna omfattande att åtgärda.
