В Unity обнаружили уязвимость, скрывавшуюся почти десять лет

Компания Unity призывает разработчиков обновить свои игры и приложения после обнаружения новой уязвимости безопасности, которая присутствовала в движке почти десять лет.

Как сообщает компания-разработчик игрового движка, уязвимость затрагивает версии Unity начиная с 2017.1 и присутствует в сборках для Android, Windows, Linux и macOS.

Уязвимость была обнаружена 4 июня этого года и исправлена 2 октября. Она делала пользователей «уязвимыми к атакам с небезопасной загрузкой файлов и локальным включением файлов в зависимости от операционной системы». Это означает, что злоумышленник мог получить возможность выполнения локального кода или получения информации на «уровне привилегий уязвимого приложения».

Unity присвоила уязвимости высокий уровень серьезности с оценкой CVSS 8.4. При максимальной оценке 10 эта уязвимость считается весьма значительной. При этом компания уточняет, что «нет свидетельств эксплуатации данной уязвимости, равно как и какого-либо воздействия на пользователей или клиентов».

Игры или приложения, выпущенные с использованием версии 2017.1 или новее, могут содержать эту уязвимость. Разработчикам рекомендуется загрузить исправленную версию Unity через Unity Hub или Unity Download Archive.

Unity Version 2017.1, как следует из названия, была выпущена еще в 2017 году, так что эта уязвимость существовала около восьми лет.

Если вы разработали игру или приложение с использованием версии 2017.1 или новее, Unity «настоятельно» рекомендует «перекомпилировать и перевыпустить ваше приложение». Для приложений на Android встроенные функции сканирования на вредоносное ПО и безопасности будут обнаруживать затронутое программное обеспечение, а защитник Windows Microsoft Defender также был обновлен для «обнаружения и блокировки уязвимости». Valve также добавляет дополнительные защиты против этой уязвимости.

Для тех, кто предпочитает не пересобирать проекты, Unity опубликовала инструмент, который исправляет приложения на Android, Windows и macOS. Однако этот инструмент не работает со сборками, имеющими защиту от взлома или античит-меры, а также не поддерживает Linux.

Linux по-прежнему имеет высокий уровень серьезности в таблице затронутых платформ на сайте Unity, но компания поясняет: «В связи с более низким профилем риска Unity не выпустила версию Unity Application Patcher для Linux. При необходимости, особенно в средах со строгими политиками контроля доступа, пересоберите ваше Linux-приложение с исправленным редактором Unity, чтобы удалить уязвимые пути кода».

Unity также уточняет, что «исправление вряд ли сломает большинство игр», что звучит менее обнадеживающе, чем, возможно, предполагалось.

Разработчикам, использующим Unity, рекомендуется информировать пользователей о необходимости поддерживать устройства и приложения в актуальном состоянии, поскольку те, кто работает со старыми версиями, могут быть уязвимы. Поддержка программного обеспечения в актуальном состоянии — это просто хорошая практика, но для программного обеспечения Unity это будет особенно важно в будущем.

Подписаться на обновления Новости / Технологии
Зарегистрируйтесь на сайте, чтобы отключить рекламу

ℹ️ Помощь от ИИ

В статье есть ошибки или у вас есть вопрос? Попробуйте спросить нашего ИИ-помощника в комментариях и он постарается помочь!

⚠️ Важно:

• AI Rutab читает ваши комментарии и готов вам помочь.
• Просто задайте вопрос 👍
• ИИ может давать неточные ответы!
• ИИ не скажет «Я не знаю», но вместо этого может дать ошибочный ответ.
• Всегда проверяйте информацию и не полагайтесь на него как на единственный источник.
• К ИИ-помощнику можно обратиться по имени Rutab или Рутаб.

Топ дня 🌶️


0 комментариев

Оставить комментарий


Все комментарии - Технологии