Spiele-Engine Unity: Lücke bedroht Android, Linux, macOS und Windows

Die Laufzeitumgebung für die Spiele-Engine Unity steckt in diversen populären Spielen. Microsoft meldet nun eine schwerwiegende Sicherheitslücke darin, die Angreifern das Ausführen von Schadcode erlaubt. Bis zur Verfügbarkeit von Updates sollen Nutzerinnen und Nutzer betroffene Software deinstallieren, rät der Hersteller.

Microsoft beschreibt die Schwachstelle als "nicht vertrauenswürdigen Suchpfad", was sich mit der Beschreibung des Herstellers Unity zwar deckt, jedoch laut Fehlerbericht des Schwachstellenentdeckers mit dem Handle RyotaK zu kurz greift. Die Unity-Laufzeitumgebung nutzt demnach Intents zur Kommunikation zwischen Komponenten von Apps, und das anscheinend nicht nur unter Android. Angreifer können bösartige Intents nutzen, um Kommandozeilen-Parameter zu kontrollieren, die an Unity-Apps durchgereicht werden. Dadurch können sie beispielsweise beliebige Bibliotheken laden und Schadcode ausführen. Bösartige Apps auf demselben Gerät wie die Unity-Apps können dadurch die Rechte davon erlangen. Dies sei in manchen Fällen sogar aus dem Internet ausnutzbar (CVE-2025-59489 / EUVD-2025-32292, CVSS 8.4, Risko "hoch").

Betroffen sind Apps und Spiele, die mit dem Unity Gaming Engine Editor in Version 2017.1 oder neuer erstellt wurden. Allerdings nicht auf allen Plattformen: Während Nutzerinnen und Nutzer unter Android, Linux, macOS und Windows aktiv werden müssen, können sich jene mit Hololens, iOS, Xbox-Cloud-Gaming und XBox-Konsolen entspannt zurücklehnen; letztere sind nicht anfällig.

Exploit-Code ist laut Microsoft verfügbar. Daher sollten potenziell betroffene Nutzer aktiv werden. Wer verwundbare Microsoft-Apps oder -Spiele einsetzt, sollte diese bis zur Verfügbarkeit eines Updates deinstallieren, empfiehlt der Hersteller. Der arbeitet an Aktualisierungen, nennt jedoch kein geplantes Datum für deren Verfügbarkeit. Entwickler sollen die korrigierte Software von Unity installieren und Updates für ihre Apps oder Spiele so schnell wie möglich veröffentlichen. Neben Spielen sind von Microsoft auch "Mesh PC"-Programme betroffen. Die Version 5.2513.3.0 oder neuer stopft die Sicherheitslücken und soll bereits bei aktiviertem Auto-Update auf betroffenen Maschinen angekommen sein.

Microsoft listet folgende Apps und Spiele als verwundbar auf:

Microsoft Mesh PC ApplicationsPillars of EternityHearthstoneGrounded 2 ArtbookZoo Tycoon FriendsThe Elder Scrolls: LegendsMighty DoomHalo RecruitGears POP!Forza CustomsDOOM II (2019)DOOM (2019)Wasteland RemasteredWasteland 3Warcraft RumbleThe Elder Scrolls: CastlesThe Elder Scrolls: BladesThe Elder Scrolls IV: Oblivion Remastered Companion AppThe Bard's Tale TrilogyStarfield Companion AppPillars of Eternity: Hero EditionPillars of Eternity: Definitive EditionPillars of Eternity II: Deadfire - Ultimate EditionPillars of Eternity II: DeadfireKnights and BikesGhostwide Tokyo PreludeFallout ShelterDOOM: Dark Ages Companion AppAvowed Artbook

In der Tabelle im CVE-Eintrag von Microsoft listet das Unternehmen auch die fehlerkorrigierten Versionen auf. Allerdings ist bislang lediglich für die Mesh-PC-Software ein Update verfügbar. Wer die betroffene Software nutzt, sollte sie daher deinstallieren und im Anschluss regelmäßig prüfen, ob eine Aktualisierung verfügbar ist. Mit neuem Stand können sie die Software dann wieder installieren.

Zuletzt fiel Microsoft mit einer kritischen Entra-ID-Lücke auf. Dadurch waren alle Tenant global kompromittierbar.

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Dieser Link ist leider nicht mehr gültig. Links zu verschenkten Artikeln werden ungültig, wenn diese älter als 7 Tage sind oder zu oft aufgerufen wurden. Sie benötigen ein heise+ Paket, um diesen Artikel zu lesen. Jetzt eine Woche unverbindlich testen – ohne Verpflichtung! Wochenpass bestellen

Sie haben heise+ bereits abonniert? Hier anmelden.

Oder benötigen Sie mehr Informationen zum heise+ Abo