Cette faille touche les jeux et applications Unity compilés depuis la version 2017, avec un risque d’exécution de code dans le contexte du programme sur Android, Windows, macOS et Linux selon les scénarios d’attaque décrits par l’éditeur.
Unity signale une vulnérabilité de haute gravité et recommande des mises à jour rapides des projets affectés, assorties d’un score de sévérité élevé et d’un périmètre large couvrant plusieurs générations du moteur. L’éditeur explique que le chargement non fiable de composants peut permettre, dans certaines conditions, une exécution de code au niveau de privilège de l’application ciblée. Les équipes sécurité des plateformes et écosystèmes partenaires déploient des mesures pour réduire la surface d’exposition en parallèle des correctifs côté développeurs.
Une faille dormante dans l'un des moteurs de jeu les plus populaires
Pour le joueur, le danger immédiat semble contenu. L’exploitation de la faille requiert des conditions spécifiques, souvent une action locale ou la présence d’une autre application malveillante sur l’appareil. Unity et les chercheurs en sécurité s’accordent à dire qu’aucune attaque à grande échelle n’a été recensée. De plus, des partenaires majeurs comme Valve (via Steam) et Microsoft ont déjà commencé à déployer des protections pour endiguer la menace en attendant la mise à jour des jeux concernés.
La responsabilité repose donc principalement sur les épaules des développeurs. Unity leur fournit deux chemins : la reconstruction complète de leurs applications avec une version corrigée de l’éditeur, ou l’application d’un correctif binaire plus rapide sur les jeux déjà distribués. Cette seconde option permet de remplacer uniquement le composant vulnérable sans nécessiter une nouvelle compilation intégrale, un gain de temps précieux pour les studios gérant de vastes catalogues. L'inaction laisserait une porte ouverte, même si elle est difficile à forcer.
Source : Neowin
