Uma nova vulnerabilidade foi descoberta no Unity, motor gráfico multiplataforma amplamente utilizado na indústria de games. A brecha afeta sistemas Android e Windows e pode ser explorada para execução de código e escalonamento de privilégios, respectivamente.
Identificada como CVE-2025-59489 na National Vulnerability Database, a falha recebeu pontuação CVSS 8.4, indicando alto nível de gravidade. O problema está no Runtime — componente essencial presente nas versões do Unity para Android, Windows, macOS e Linux — e permite a injeção de argumentos durante a inicialização. Essa brecha pode ser usada para carregar bibliotecas de código em locais inesperados, abrindo espaço para comportamentos maliciosos.
Nas notas do patch de segurança, a Unity detalhou o problema: “O CVE-2025-59489 poderia permitir a execução local de código e o acesso a informações confidenciais em dispositivos de usuários finais que executam aplicativos criados com Unity. A execução de código seria limitada ao nível de privilégio do app vulnerável, e a divulgação de informações seria limitada às informações disponíveis para o app vulnerável. Não há evidências de exploração da vulnerabilidade, nem houve qualquer impacto sobre usuários ou clientes”, explicou a empresa.
O patch de correção foi liberado em 2 de outubro de 2025. Segundo a Unity, todas as versões anteriores ao update são afetadas, e a atualização está disponível para todas as edições do motor a partir da versão 2019.1. Compilações mais antigas não receberão o conserto.
Valve e Microsoft reagiram à descoberta
Após a divulgação da vulnerabilidade, outras grandes empresas do setor também tomaram medidas. A Valve atualizou o cliente do Steam para bloquear a inicialização de softwares caso algum dos parâmetros de linha de comando relatados pela Unity esteja presente no URI scheme da plataforma.
Já a Microsoft publicou um alerta oficial sobre o problema, recomendando que usuários desinstalem temporariamente jogos vulneráveis até que os desenvolvedores lancem atualizações com o patch de correção.
É importante ficar atento
Até o momento, não há indícios de que o CVE-2025-59489 tenha sido explorado de forma ativa. No entanto, agora que a vulnerabilidade é pública, especialistas alertam para o risco de que jogos mais antigos criados com Unity possam se tornar alvos de novas tentativas de exploração. Usuários e desenvolvedores devem garantir que seus sistemas e títulos estejam atualizados para evitar riscos.
Quer ficar por dentro das últimas falhas de segurança e atualizações do mundo da tecnologia? Acompanhe o TecMundo para receber as principais notícias sobre vulnerabilidades, atualizações críticas e tendências em cibersegurança.