Gefahr im Verzug: Sicherheitslücke bedroht Spiele auf Basis der Unity-Engine

Unity, die Entwickler der Unity-Engine, warnen vor einer Sicherheitslücke der Engine ab Version 2017.1 für Android, Windows, Linux und macOS, die potenziell alle auf dieser Engine entwickelten Spiele und Applikationen betrifft. Entwicklern wird dringend geraten, Patches einzuspielen und die eigenen Apps neu zu kompilieren.

Die Lücke wird unter der Kennung CVE-2025-59489 geführt. Laut Unity gibt es bis dato keinen Hinweis darauf, dass sie bereits ausgenutzt wird.

Die Gefahr ist offenbar groß

Dennoch ist die Gefahr allem Anschein nach hoch. Dafür spricht, dass sich Unity bereits mit Microsoft und Steam in Verbindung gesetzt hat, um über diesen Weg Gegenmaßnahmen zu ergreifen, bevor Entwickler tätig waren.

Der Microsoft Defender erkenne demzufolge bereits, wenn die Lücke ausgenutzt wird, Valve prüft allem Anschein aber noch, was getan werden kann.

We have spoken with Valve and they will issue additional protections for the Steam client. For Windows, Microsoft Defender has been updated and will detect and block the vulnerability.

Entwickler müssen patchen und neu kompilieren

Um die Lücke in Anwendungen selbst zu schließen, stellt Unity Updates für alle Versionen ab Unity 2019.1 bereit. Um Games und Applications, die bereits auf Basis von Unity 2017.1 oder später (Liste der betroffenen Versionen) erstellt wurden, sicher zu machen, gibt es darüber hinaus einen Binary Patcher, der die Programme direkt anpasst.

Dieser Schritt ist aber nur eine Notlösung. Empfohlen wird, die Anwendung in einer gepatchten Version von Unity direkt neu zu kompilieren. Für Anwendungen, die einen Kopier- oder Cheat-Schutz enthalten, ist das sogar der einzig gangbare Weg.

Nicht alle Plattformen betroffen

Nicht betroffen sind nach aktuellem Kenntnisstand die Plattformen iOS, visionOS, tvOS, Xbox, Nintendo Switch, Sony PlayStation, UWP, Quest und WebGL. Entdeckt haben soll die Lücke ein externer Sicherheitsforscher.