Spiele-Engine Unity: Lücke bedroht Android, Linux, macOS und Windows

Die Laufzeitumgebung für die Spiele-Engine Unity steckt in diversen populären Spielen. Microsoft meldet nun eine schwerwiegende Sicherheitslücke darin, die Angreifern das Ausführen von Schadcode erlaubt. Bis zur Verfügbarkeit von Updates sollen Nutzerinnen und Nutzer betroffene Software deinstallieren, rät der Hersteller.

Microsoft beschreibt die Schwachstelle als „nicht vertrauenswürdigen Suchpfad“, was sich mit der Beschreibung des Herstellers Unity zwar deckt, jedoch laut Fehlerbericht des Schwachstellenentdeckers mit dem Handle RyotaK zu kurz greift. Die Unity-Laufzeitumgebung nutzt demnach Intents zur Kommunikation zwischen Komponenten von Apps, und das anscheinend nicht nur unter Android. Angreifer können bösartige Intents nutzen, um Kommandozeilen-Parameter zu kontrollieren, die an Unity-Apps durchgereicht werden. Dadurch können sie beispielsweise beliebige Bibliotheken laden und Schadcode ausführen. Bösartige Apps auf demselben Gerät wie die Unity-Apps können dadurch die Rechte davon erlangen. Dies sei in manchen Fällen sogar aus dem Internet ausnutzbar (CVE-2025-59489 / EUVD-2025-32292, CVSS 8.4, Risko „hoch„).

Betroffen sind Apps und Spiele, die mit dem Unity Gaming Engine Editor in Version 2017.1 oder neuer erstellt wurden. Allerdings nicht auf allen Plattformen: Während Nutzerinnen und Nutzer unter Android, Linux, macOS und Windows aktiv werden müssen, können sich jene mit Hololens, iOS, Xbox-Cloud-Gaming und XBox-Konsolen entspannt zurücklehnen; letztere sind nicht anfällig.

Jetzt Gegenmaßnahmen ergreifen

Exploit-Code ist laut Microsoft verfügbar. Daher sollten potenziell betroffene Nutzer aktiv werden. Wer verwundbare Microsoft-Apps oder -Spiele einsetzt, sollte diese bis zur Verfügbarkeit eines Updates deinstallieren, empfiehlt der Hersteller. Der arbeitet an Aktualisierungen, nennt jedoch kein geplantes Datum für deren Verfügbarkeit. Entwickler sollen die korrigierte Software von Unity installieren und Updates für ihre Apps oder Spiele so schnell wie möglich veröffentlichen. Neben Spielen sind von Microsoft auch „Mesh PC“-Programme betroffen. Die Version 5.2513.3.0 oder neuer stopft die Sicherheitslücken und soll bereits bei aktiviertem Auto-Update auf betroffenen Maschinen angekommen sein.

Microsoft listet folgende Apps und Spiele als verwundbar auf:

• Microsoft Mesh PC Applications
• Pillars of Eternity
• Hearthstone
• Grounded 2 Artbook
• Zoo Tycoon Friends
• The Elder Scrolls: Legends
• Mighty Doom
• Halo Recruit
• Gears POP!
• Forza Customs
• DOOM II (2019)
• DOOM (2019)
• Wasteland Remastered
• Wasteland 3
• Warcraft Rumble
• The Elder Scrolls: Castles
• The Elder Scrolls: Blades
• The Elder Scrolls IV: Oblivion Remastered Companion App
• The Bard’s Tale Trilogy
• Starfield Companion App
• Pillars of Eternity: Hero Edition
• Pillars of Eternity: Definitive Edition
• Pillars of Eternity II: Deadfire – Ultimate Edition
• Pillars of Eternity II: Deadfire
• Knights and Bikes
• Ghostwide Tokyo Prelude
• Fallout Shelter
• DOOM: Dark Ages Companion App
• Avowed Artbook

In der Tabelle im CVE-Eintrag von Microsoft listet das Unternehmen auch die fehlerkorrigierten Versionen auf. Allerdings ist bislang lediglich für die Mesh-PC-Software ein Update verfügbar. Wer die betroffene Software nutzt, sollte sie daher deinstallieren und im Anschluss regelmäßig prüfen, ob eine Aktualisierung verfügbar ist. Mit neuem Stand können sie die Software dann wieder installieren.

Zuletzt fiel Microsoft mit einer kritischen Entra-ID-Lücke auf. Dadurch waren alle Tenant global kompromittierbar.

(dmk)