Unity опубликовала срочное обновление для устранения серьёзной уязвимости безопасности, которая присутствовала в игровом движке с 2017 года. Проблема затрагивает все игры и приложения, созданные на Unity версии 2017.1 и выше, на Windows, Linux, macOS и Android.
vgtimes.ru
Оказались затронуты даже игры, изначально не созданные на Unity, но содержащие сопутствующие приложения или цифровые артбуки на этом движке. Так, у Avowed, созданной на Unreal Engine 5, есть цифровой артбук, выполненный как Unity-приложение.
Разработчики обнаружили уязвимость 4 июня и исправили её 2 октября. Баг позволял злоумышленникам загружать и внедрять вредоносные файлы в систему, чтобы выполнять вредоносный код или красть информацию на уровне привилегий уязвимого приложения.
Unity присвоила проблеме высокий уровень опасности (7,4 балла из 10). Однако компания отмечает, что доказательств её эксплуатации пока нет.
Разработчикам порекомендовали «незамедлительно» установить исправленную версию Unity через Unity Hub или Unity Download Archive, перекомпилировать и повторно опубликовать свои приложения.
На этом фоне Obsidian временно удалила часть игр, в том числе Grounded 2, Avowed и Pillars of Eternity. Entertainment другие студии также пошли на этот шаг. Например, Bethesda убрала из продажи Fallout Shelter.
Valve выпустила обновлённый клиент Steam с защитой от обнаруженной уязвимости, а пользователям Windows доступен апдейт Microsoft Defender, который теперь способен выявлять и блокировать проблему. Свои меры приняли Google и другие компании.
Между тем в сентябре в Steam обнаружили игру BlockBlasters. После её установки стример RastalandTV потерял криптовалюту на $32 тыс., которую он собрал для лечения рака четвёртой стадии. Позже стало известно, что от BlockBlasters пострадали сотни пользователей. Злоумышленникам удалось украсть не менее $150 тыс. у 261 пользователей Steam. Valve порекомендовала тем, кто установил BlockBlasters, проверить ПК антивирусом или переустановить операционную систему.
Источник: habr.com