Unity Technology behebt Android-Fehler und verhindert dessen Ausnutzung

Unity Technologies hat einen Patch veröffentlicht, um eine Sicherheitslücke zu beheben, die die Ausführung von Schadcode in Android-Spielen, die mit der Plattform von Unity Technologies erstellt wurden, ermöglicht und möglicherweisedentwie die Seed-Phrase von Krypto-Wallets gestohlen hätte. 

In seinem Sicherheitsupdate an, dass der Fehler ein hohes Risiko darstellte; es gibt jedoch keine Hinweise auf eine Ausnutzung oder Auswirkungen auf die Nutzer. Er wurde erstmalsdentund als CWE-426: Nicht vertrauenswürdiger Suchpfad klassifiziert. 

Unity Technologies, ein Anbieter von Echtzeit-3D-Entwicklungstools, ist die Technologie für über 70 % der 1000 weltweit beliebtesten mobilen Spiele.

Ein Unity-Fehler betraf Editorversionen und setzte Anwendungen dem Dateiladen aus

Laut der Veröffentlichungbetraf die Sicherheitslücke mehrere Plattformen, darunter Android, Windows, macOS und Linux. Eine gepatchte Version der Unity Runtime wurde am 2. Oktober veröffentlicht, und Entwickler werden dringend gebeten, ihre Software zu aktualisieren, um das Risiko von Ausnutzungen.

Die Schwachstelle mit einem CVSS-Wert von 8,4 wurde auch von RyotaK erwähnt. Laut dieser Meldung können auf Geräten installierte Schadprogramme Berechtigungen von Unity-basierten Anwendungen übernehmen und Angreifern so die Möglichkeit geben, beliebigen Code aus der Ferne auszuführen.

Community-Direktor Larry „Major Nelson“ Hryb veröffentlichte eine Sicherheitswarnung, in der er erklärte, dass Anwendungen, die betroffene Unity Editor-Versionen verwendeten, anfällig für Dateilade- und lokale Dateieinbindungsangriffe seien.

Angreifer könnten diese Schwachstelle ausnutzen, um Zugriff auf die privilegierte Ebene der anfälligen Anwendung zu erlangen. Windows-Systeme waren einem doppelten Risiko ausgesetzt, wenn ein registrierter benutzerdefinierter URI-Handler existierte, den Angreifer nutzen konnten, um das Laden von Bibliotheken aus der Ferne auszulösen.

Die in Builds vor dem 2. Oktober vorhandene Sicherheitslücke in der Unity-Runtime ermöglichte „Argument-Injection“, wodurch Code von unerwarteten Speicherorten geladen werden konnte. Im Falle einer Kompromittierung konnte ein Angreifer beliebige Befehle ausführen oderdentInformationen von einem betroffenen Gerät exfiltrieren.

Der Patch ist live, Projekte beginnen mit dem Wiederaufbau

Unity bestätigte Ende letzter Woche, dass Patches nun für alle Entwickler verfügbar sind und empfahl ihnen, ihre Projekte mit einer gepatchten Version des Unity Editors neu zu erstellen. Das Unternehmen empfahl außerdem, den Unity Application Patcher auf bestehende Android-, Windows- oder macOS-Builds anzuwenden und diese anschließend zu testen und erneut bereitzustellen.

Hallo XR-Entwickler! Ihr habt vielleicht heute Morgen eine Benachrichtigung von Unity erhalten.

Eine Sicherheitslücke in Unity (ab Version 2017.1) ermöglicht das unsichere Laden von Dateien bzw. das Einbinden lokaler Dateien, was zur Ausführung von Code oder zur Offenlegung von Daten in erstellten Anwendungen führen kann.

Um das Problem zu beheben, müssen Sie entweder… pic.twitter.com/h2PhFCQeX6

— Robi ᯅ (@xrdevrob) 3. Oktober 2025

In der offiziellen Stellungnahme bekräftigte Unity, dass „keine Hinweise auf aktive Ausnutzung“ gefunden wurden und keine Kunden betroffen seien. Das Unternehmen fügte hinzu, dass den Entwicklern umgehend Maßnahmen zur Risikominderung mitgeteilt wurden, um zukünftige Gefährdungen zu verhindern.

Auf Android konnte das Problem zur Ausführung von Schadcode oder zur Rechteausweitung führen, während unter Windows, Linux (Desktop und Embedded) und macOS die Schwachstelle zu Risiken durch Rechteausweitung hätte führen können. In der Unity-Mitteilung wurde darauf hingewiesen, dass Konsolenspiele nicht betroffen waren, mobile und Desktop-Anwendungen, die auf anfälligen Unity-Versionen basierten, jedoch Bedrohungen ausgesetzt waren.

Am vergangenen Freitag Microsoft zudem eine entsprechende Sicherheitswarnung, in der bestätigt wurde, dass Entwicklerteams von Windows-basierten Spielen alle potenziell betroffenen Titel überprüfen und aktualisieren. Windows Defender wurde inzwischen aktualisiert, um alle bekannten, mit der Sicherheitslücke zusammenhängenden Exploits zu erkennen und zu blockieren.

Hacker nutzen Spiele, um private Daten zu stehlen

Die gesamte Spielebranche sieht sich Bedrohungen durch Schadsoftware ausgesetzt, die von Hackern entwickelt wird, welche Spiele und sogar herunterladbare Inhalte als legitime Inhalte tarnen. Hacker verstecken Schadsoftware in beliebten Spielen, Demos oder Mods, die über inoffizielle Kanäle verbreitet werden. 

Spieler könnten unwissentlich Hackern helfen, indem sie Raubkopien von Spielen wie Grand Theft Auto V, God of Waroder Mortal Kombat 1 , die mit versteckter Schadsoftware wie Crackonosh infiziert sind. Nach der Installation nutzt dieser Computervirus unbemerkt die Ressourcen des Nutzers, um im Hintergrund digitale Währungen wie Monero (XMR) zu schürfen.

Manche Cyberkriminelle schleusen schädlichen Code über Updates nach der Veröffentlichung ein oder leiten Nutzer auf externe Webseiten mit infizierten Dateien um. Nachdem sie Spieler erfolgreich dazu verleitet haben, das Spiel herunterzuladen, stehlen sie persönliche Daten sowie Kryptowährungs-dentWallets. 

In seiner Stellungnahme rief Hryb Entwickler und Nutzer dazu auf, ihre Betriebssysteme stets auf dem neuesten Stand zu halten,matic Updates zu aktivieren und zuverlässige Antivirensoftware zu verwenden. Er betonte außerdem, dass Sicherheit in der Spielebranche eine „gemeinsame Verantwortung“ sei, da Millionen von Nutzern täglich mit Unity-basierten Anwendungen interagieren.