Gli sviluppatori sono invitati a patchare immediatamente i giochi, dopo che è stata scoperta una grave falla di sicurezza di Unity dopo 8 anni

Una vulnerabilità di sicurezza critica che è rimasta inattiva nel motore di Unity dal 2017, ora è stata scoperta. Al momento della sua scoperta, gli sviluppatori di tutto il mondo hanno ricevuto un avviso dalla piattaforma di sviluppo, con notifiche che invitavano immediatamente gli sviluppatori a ricompilare e ripubblicare i loro giochi per proteggere gli utenti.

La vulnerabilità CVE-2025-59489 consente l'esecuzione di codice arbitrario attraverso l'iniezione di argomenti in Unity Runtime, permettendo a potenziali aggressori con accesso locale di caricare librerie dannose e di aumentare i propri privilegi.

La vulnerabilità è stata scoperta il 4 giugno 2025 dal ricercatore di sicurezza RyotaK di GMO Flatt Security Inc. La vulnerabilità riguarda i giochi e le app costruite con Unity versione 2017.1 e successive su Android, Linux e macOS.

Secondo il CVSS, il Common Vulnerability Scoring System, che è un metodo utilizzato per misurare la gravità di una vulnerabilità del software, Unity 2017.1 ha ottenuto un punteggio "alto" di 8,4 su 10.

Unity ha reso nota questa vulnerabilità il 2 ottobre 2025, annunciando che le correzioni saranno distribuite lo stesso giorno per le versioni di Unity Editor a partire dalla 2019.1, insieme a uno strumento di patch binario per il retrofit delle build risalenti alla versione 2017.1.

Nel suo avviso di sicurezza ufficialeunity ha ribadito: "Non ci sono prove di sfruttamento o vulnerabilità, né c'è stato alcun impatto sugli utenti o sui clienti" Unity ha inoltre dichiarato: "Abbiamo fornito in modo proattivo delle correzioni che risolvono la vulnerabilità e sono già disponibili per tutti gli sviluppatori"

Unity ha concluso il post di avviso con queste osservazioni conclusive: "Unity si dedica alla sicurezza e all'integrità della nostra piattaforma, dei nostri clienti e della comunità in generale. La comunicazione trasparente è fondamentale per questo impegno e continueremo a fornire gli aggiornamenti necessari"

Questa scoperta ha provocato un'isteria di massa in tutto il settore, in quanto gli studi più importanti e gli sviluppatori indie si sono affrettati ad aggiornare i titoli, causando la rimozione temporanea delle vetrine. Obsidian Entertainment ha ritirato diversi giochi realizzati con Unity, tra cui Pillars of Eternity II: Deadfire e Pentiment, il 3 ottobre. Anche lo sviluppatore di Among Us, Innersloth, e Marvel Snap's Second Dinner hanno confermato le patch per i loro titoli per dispositivi mobili.

Allo stesso modo, PsychoFlux Entertainment ha riferito di aver patchato 11 giochi Steam come Gravity Castle e Fingerdance, mentre Tenbris Studio ha aggiornato il suo gioco horror "Your Computer Might be At Risk" su Steam.

L'episodio dimostra che le vulnerabilità non scoperte sono ancora in agguato nel codice legacy. Tuttavia, la rapida risposta di Unity potrebbe aver limitato le conseguenze che altrimenti si sarebbero avute per un motore di gioco che alimenta ben 750.000 giochi, dai titoli AAA agli indipendenti.

Comprare Learning C# by Developing Games with Unity su Amazon