Steam waarschuwt voor Unity-kwetsbaarheid in games vanaf Unity 2017.1

In dit artikel:

Valve waarschuwt ontwikkelaars en spelers voor een veiligheidslek in Unity dat teruggaat tot Editor-versie 2017.1 en nog steeds relevant is (CVE-2025-59489). Het probleem maakt het mogelijk dat kwaadwillenden via een commandline-functie in Unity-apps willekeurige code uitvoeren. Unity meldt dat er geen aanwijzingen zijn dat de kwetsbaarheid actief wordt misbruikt, maar raadt ontwikkelaars aan hun games opnieuw te bouwen met een gepatchte Editor-versie. Microsoft publiceerde ook een supportpagina en grote antivirusleveranciers zijn op de hoogte gebracht en werken mee aan aanvullende bescherming.

Op platformniveau geldt de kwetsbaarheid voor Windows, Android, macOS en Linux; iOS en een reeks consoles en omgevingen (Xbox, PlayStation, Nintendo Switch, UWP, Quest, WebGL) lijken niet kwetsbaar. Valve neemt directe maatregelen in de Steam-client: bij opstarten via een OS-snelkoppeling of een custom URI (zoals steam://) met een verdachte commandlineparameter blokkeert Steam games automatisch; in andere gevallen verschijnt een waarschuwing voor de gebruiker. Aangezien jaarlijks duizenden games met Unity worden uitgebracht, is het belangrijk dat ontwikkelaars zo snel mogelijk herbuilden met de gepatchte Editor en dat spelers alert blijven op meldingen van Steam.