В движке Unity нашли критическую уязвимость, затрагивающую игры последних 8 лет

Команда разработчиков популярного движка Unity сообщила об обнаруженной уязвимости, датированной аж 2017 годом. Злоумышленники могли воспользоваться ей с целью хищения конфиденциальных данных.
Найденная уязвимость функционирует на Windows, macOS, Linux и Android и, как водится, затрагивает все проекты, вышедшие за последние восемь лет. Команда заверила, что ей неизвестно о случаях использования «лазейки» — вероятно, смышлёных хакеров не нашлось, или же в Unity просто лукавят.
Разработчикам игр и ПО порекомендовали пересобрать свои проекты с использованием обновлённой версии движка. Упростить процесс поможет специальный патчер, но он не совместим с приложениями, использующими собственные античит-решения или защищёнными от модификации.
Некоторые студии (например, Obsidian) поспешили снять с продажи свои игры на Unity до их обновления.

Я считаю, что ситуация с уязвимостью в Unity крайне неприятная, особенно учитывая её возраст и масштаб. Обнаружить такую дыру спустя шесть лет – это серьёзный промах в системе безопасности. Заявление о том, что об использовании уязвимости неизвестно, звучит неубедительно. Либо хакерам просто не хватило времени, либо они действовали скрытно. Особенно настораживает несовместимость патчера с античитами и защитой от модификаций. Это создаёт дополнительные сложности для разработчиков и может привести к тому, что некоторые игры останутся уязвимыми. Решение Obsidian по снятию игр с продажи – это, конечно, радикальный шаг, но, возможно, самый правильный в данной ситуации. В целом, этот инцидент подрывает доверие к Unity как к надёжной платформе для разработки.