Die Laufzeitumgebung für die Spiele-Engine Unity steckt in diversen populären Spielen. Microsoft meldet nun eine schwerwiegende Sicherheitslücke darin, die Angreifern das Ausführen von Schadcode erlaubt. Bis zur Verfügbarkeit von Updates sollen Nutzerinnen und Nutzer betroffene Software deinstallieren, rät der Hersteller.

Microsoft beschreibt die Schwachstelle als „nicht vertrauenswürdigen Suchpfad“, was sich mit der Beschreibung des Herstellers Unity zwar deckt, jedoch laut Fehlerbericht des Schwachstellenentdeckers mit dem Handle RyotaK zu kurz greift. Die Unity-Laufzeitumgebung nutzt demnach Intents zur Kommunikation zwischen Komponenten von Apps, und das anscheinend nicht nur unter Android. Angreifer können bösartige Intents nutzen, um Kommandozeilen-Parameter zu kontrollieren, die an Unity-Apps durchgereicht werden. Dadurch können sie beispielsweise beliebige Bibliotheken laden und Schadcode ausführen. Bösartige Apps auf demselben Gerät wie die Unity-Apps können dadurch die Rechte davon erlangen. Dies sei in manchen Fällen sogar aus dem Internet ausnutzbar (CVE-2025-59489 / EUVD-2025-32292, CVSS 8.4, Risko „hoch„).

Betroffen sind Apps und Spiele, die mit dem Unity Gaming Engine Editor in Version 2017.1 oder neuer erstellt wurden. Allerdings nicht auf allen Plattformen: Während Nutzerinnen und Nutzer unter Android, Linux, macOS und Windows aktiv werden müssen, können sich jene mit Hololens, iOS, Xbox-Cloud-Gaming und XBox-Konsolen entspannt zurücklehnen; letztere sind nicht anfällig.

Jetzt Gegenmaßnahmen ergreifen

Exploit-Code ist laut Microsoft verfügbar. Daher sollten potenziell betroffene Nutzer aktiv werden. Wer verwundbare Microsoft-Apps oder -Spiele einsetzt, sollte diese bis zur Verfügbarkeit eines Updates deinstallieren, empfiehlt der Hersteller. Der arbeitet an Aktualisierungen, nennt jedoch kein geplantes Datum für deren Verfügbarkeit. Entwickler sollen die korrigierte Software von Unity installieren und Updates für ihre Apps oder Spiele so schnell wie möglich veröffentlichen. Neben Spielen sind von Microsoft auch „Mesh PC“-Programme betroffen. Die Version 5.2513.3.0 oder neuer stopft die Sicherheitslücken und soll bereits bei aktiviertem Auto-Update auf betroffenen Maschinen angekommen sein.

Microsoft listet folgende Apps und Spiele als verwundbar auf:

• Microsoft Mesh PC Applications
• Pillars of Eternity
• Hearthstone
• Grounded 2 Artbook
• Zoo Tycoon Friends
• The Elder Scrolls: Legends
• Mighty Doom
• Halo Recruit
• Gears POP!
• Forza Customs
• DOOM II (2019)
• DOOM (2019)
• Wasteland Remastered
• Wasteland 3
• Warcraft Rumble
• The Elder Scrolls: Castles
• The Elder Scrolls: Blades
• The Elder Scrolls IV: Oblivion Remastered Companion App
• The Bard’s Tale Trilogy
• Starfield Companion App
• Pillars of Eternity: Hero Edition
• Pillars of Eternity: Definitive Edition
• Pillars of Eternity II: Deadfire – Ultimate Edition
• Pillars of Eternity II: Deadfire
• Knights and Bikes
• Ghostwide Tokyo Prelude
• Fallout Shelter
• DOOM: Dark Ages Companion App
• Avowed Artbook

In der Tabelle im CVE-Eintrag von Microsoft listet das Unternehmen auch die fehlerkorrigierten Versionen auf. Allerdings ist bislang lediglich für die Mesh-PC-Software ein Update verfügbar. Wer die betroffene Software nutzt, sollte sie daher deinstallieren und im Anschluss regelmäßig prüfen, ob eine Aktualisierung verfügbar ist. Mit neuem Stand können sie die Software dann wieder installieren.

Zuletzt fiel Microsoft mit einer kritischen Entra-ID-Lücke auf. Dadurch waren alle Tenant global kompromittierbar.

(dmk)

Der Messenger-Gigant WhatsApp spricht sich ebenso wie der schweizerische Messenger Threema vehement gegen die Chatkontrolle aus. Am vergangenen Mittwoch hatte schon der Messenger Signal angekündigt, dass er in letzter Konsequenz sogar den europäischen Markt verlassen würde, wenn durch das geplante EU-Gesetz keine private, verschlüsselte Kommunikation mehr möglich sei.

Auch beim Branchen-Riesen WhatsApp teilt man die grundlegende Kritik. Eine Sprecherin von Meta, dem Mutter-Konzern des Messengers, sagte gegenüber netzpolitik.org: „Trotz gegenteiliger Behauptungen untergräbt der neueste Vorschlag der Ratspräsidentschaft der EU nach wie vor die Ende-zu-Ende-Verschlüsselung und gefährdet die Privatsphäre, Freiheit und digitale Sicherheit aller.“ WhatsApp setze sich weiterhin für stärkere Sicherheit ein und sei der Überzeugung, dass Regierungen weltweit dies ebenfalls tun sollten.

„Entschieden gegen Massenüberwachung jeder Form“

In eine ähnliche Richtung argumentiert der Messenger Threema: „Wir sind nach wie vor entschieden gegen Massenüberwachung in jeder Form“, sagt Pressesprecher Philipp Rieger gegenüber netzpolitik.org. „Wie man im physischen Raum vertrauliche Konversationen führen kann, sollte das nach unserem Verständnis auch online möglich sein.“

Das Unternehmen hat seine Position auch in einem Blog-Beitrag dargelegt. Demnach sei Massenüberwachung kein taugliches Mittel zur Kriminalitätsbekämpfung und unvereinbar mit demokratischen Grundsätzen. Darüber hinaus macht Threema auch auf das technologische Sicherheitsrisiko aufmerksam.

Würde die Chatkontrolle gemäß dem aktuellen Vorschlag von Dänemark durchkommen, würde Threema die Ausformulierung nach den Trilog-Verhandlungen abwarten und alle Optionen gründlich prüfen. In diesem Gesetzgebungsschritt versuchen sich EU-Parlament, Kommission und Rat auf einen gemeinsamen Gesetzesentwurf zu einigen. Threema geht davon aus, dass die Chatkontrolle in der gegenwärtig propagierten Form nicht mit EU-Grundrechten vereinbar ist und letzten Endes vom EuGH kassiert werden würde.

Chatkontrolle als Bedrohung für Privatsphäre und Demokratie

Bei der sogenannten Chatkontrolle geht es um eine EU-Verordnung, die sich gegen die Verbreitung von Darstellungen sexuellen Kindesmissbrauchs (sogenannte Kinderpornografie) richten soll. Sie wird seit drei Jahren kontrovers in der EU verhandelt, weil die Verordnung Vorschriften enthält, die Messenger wie WhatsApp, Signal, Threema oder Telegram auf Anordnung verpflichten sollen, Inhalte von Nutzer:innen ohne jeden Verdacht zu durchsuchen.

Dieses Durchleuchten von Dateien würde dazu führen, dass eine verschlüsselte und sichere Kommunikation untergraben wird. Die komplette IT-Fachwelt, führende Sicherheitsforscher, Wissenschaftler:innen aus aller Welt sowie zivilgesellschaftliche Organisationen aller Art lehnen daher die Chatkontrolle als Bedrohung für die Demokratie vehement ab. Außerdem könne die Suche nach Missbrauchsdarstellungen mit wenigen Handgriffen auch auf andere, etwa politisch missliebige Inhalte ausgeweitet werden.

Druck auf Ministerien nötig

Die Bundesregierung wird sich vermutlich vor dem 14. Oktober auf eine Position für die Verhandlungen im EU-Rat einigen. Zur Debatte steht der dänische Vorschlag, der eine verpflichtende Chatkontrolle und Scannen der Inhalte auf den Geräten der Nutzer:innen beinhaltet.

Das Bündnis „Chatkontrolle stoppen“ ruft dazu auf, die im akutellen Schritt relevanten Personen und Organisationen zu kontaktieren. Das sind vor allem die beteiligten Bundesministerien (Innen, Justiz, Digital, Familie) sowie die Fraktionen und Abgeordneten der Regierungsparteien im Bundestag. Am besten wirken direkte E-Mails und Telefonanrufe oder auch rechtzeitig ankommende Briefe. Auf der Website des Bündnisses gibt es Tipps und Adressen, um selbst aktiv zu werden.

Ein Support-Dienstleister für die Messaging- und Social-Media-Plattform Discord ist Opfer eines Cyberangriffs geworden. Dabei sollen Kriminelle auf Kundendaten zugegriffen haben und diese als Druckmittel für eine Erpressung einsetzen.

Hintergründe

In einer Stellungnahme weisen die Discord-Betreiber auf die Attacken hin. Sie versichern, dass davon ausschließlich Kunden betroffen seien, die in Kontakt mit dem Support waren. Demzufolge hätten die Angreifer auch nur auf diesen Kontext betreffende Nutzerdaten Zugriff gehabt. Sie versichern, dass Discord direkt nicht betroffen war. Demzufolge konnten die Angreifer keine Chatnachrichten einsehen.

Die Betreiber stellen klar, den IT-Sicherheitsvorfall mittlerweile im Griff zu haben und betroffene Nutzer zu kontaktieren. Wie viele Opfer konkret betroffen sind, ist derzeit nicht bekannt. Die Verantwortlichen geben an, dass die Angreifer unter anderem Ausweisnummern, IP-Adressen, Nachrichten an den Support und Zahlungsinformationen kopieren konnten. Darunter sollen sich aber keine vollständigen Kreditkartennummern und Passwörter befinden.

Mögliche Folgen der Attacke

Sicherheitsforscher legen nahe, dass die erbeuteten Daten weitreichende Folgen haben können. Schließlich können die Angreifer daraus vergleichsweise überzeugend Phishing-Mails für etwa Kryptowährungsbetrug stricken. Demzufolge sollten Discord-Nutzer E-Mails ab sofort noch kritischer beäugen und nicht auf Links in Mails klicken oder sogar Dateianhänge öffnen. Die Angreifer geben an, den Support-Dienstleister Zendesk attackiert zu haben. Das wurde aber von offizieller Seite bislang nicht bestätigt.

Hinter den Attacken sollen die Cyberkriminellen von Scattered Lapsus$ Hunters stecken. Die wollen sich eigenen Angaben zufolge eigentlich aus dem Cybercrimegeschäft zurückziehen. In der Vergangenheit haben sie unter anderem Jaguar und Marks & Spencer erfolgreich attackiert und Schäden in Millionenhöhe verursacht.

(des)