Alerta da Microsoft: Unity tem brecha de segurança no Android e no Windows

Foi descoberta uma brecha de segurança no motor gráfico Unity; Valve e Microsoft reagiram à descoberta

Igor Almenara Carneiro

schedule06/10/2025, às 17:00

updateAtualizado em 06/10/2025, às 17:19

Alerta da Microsoft: Unity tem brecha de segurança no Android e no Windows

Uma nova vulnerabilidade foi descoberta no Unity, motor gráfico multiplataforma amplamente utilizado na indústria de games. A brecha afeta sistemas Android e Windows e pode ser explorada para execução de código e escalonamento de privilégios, respectivamente.

Identificada como CVE-2025-59489 na National Vulnerability Database, a falha recebeu pontuação CVSS 8.4, indicando alto nível de gravidade. O problema está no Runtime — componente essencial presente nas versões do Unity para Android, Windows, macOS e Linux — e permite a injeção de argumentos durante a inicialização. Essa brecha pode ser usada para carregar bibliotecas de código em locais inesperados, abrindo espaço para comportamentos maliciosos.

smart_display

Nossos vídeos em destaque

Leia mais: Discord vazou dados de usuários e até fotos de identificação

Unity – Introdução e Primeiros Passos - Laboratório iMobilis — A brecha está contida em todas as versões anteriores ao lançamento do patch. (Fonte: Unity/Reprodução)

Nas notas do patch de segurança, a Unity detalhou o problema: “O CVE-2025-59489 poderia permitir a execução local de código e o acesso a informações confidenciais em dispositivos de usuários finais que executam aplicativos criados com Unity. A execução de código seria limitada ao nível de privilégio do app vulnerável, e a divulgação de informações seria limitada às informações disponíveis para o app vulnerável. Não há evidências de exploração da vulnerabilidade, nem houve qualquer impacto sobre usuários ou clientes”, explicou a empresa.

O patch de correção foi liberado em 2 de outubro de 2025. Segundo a Unity, todas as versões anteriores ao update são afetadas, e a atualização está disponível para todas as edições do motor a partir da versão 2019.1. Compilações mais antigas não receberão o conserto.

Valve e Microsoft reagiram à descoberta

Após a divulgação da vulnerabilidade, outras grandes empresas do setor também tomaram medidas. A Valve atualizou o cliente do Steam para bloquear a inicialização de softwares caso algum dos parâmetros de linha de comando relatados pela Unity esteja presente no URI scheme da plataforma.

Já a Microsoft publicou um alerta oficial sobre o problema, recomendando que usuários desinstalem temporariamente jogos vulneráveis até que os desenvolvedores lancem atualizações com o patch de correção.

É importante ficar atento

Até o momento, não há indícios de que o CVE-2025-59489 tenha sido explorado de forma ativa. No entanto, agora que a vulnerabilidade é pública, especialistas alertam para o risco de que jogos mais antigos criados com Unity possam se tornar alvos de novas tentativas de exploração. Usuários e desenvolvedores devem garantir que seus sistemas e títulos estejam atualizados para evitar riscos.

Confira: Golpe oferece cartão da Shopee para roubar dados e dinheiro das vítimas

Quer ficar por dentro das últimas falhas de segurança e atualizações do mundo da tecnologia? Acompanhe o TecMundo para receber as principais notícias sobre vulnerabilidades, atualizações críticas e tendências em cibersegurança.

Perguntas Frequentes

O que é a vulnerabilidade CVE-2025-59489 descoberta no Unity?

Trata-se de uma falha de segurança identificada no Runtime do motor gráfico Unity, que afeta sistemas Android e Windows. A vulnerabilidade permite a injeção de argumentos durante a inicialização de aplicativos, possibilitando a execução de código malicioso ou o escalonamento de privilégios.

Quais sistemas operacionais são afetados por essa falha?

A vulnerabilidade afeta principalmente os sistemas Android e Windows, mas o componente vulnerável (Runtime) também está presente nas versões do Unity para macOS e Linux. No entanto, os impactos específicos foram destacados apenas para Android e Windows.

Qual é o nível de gravidade da falha e como ela foi classificada?

A falha foi registrada na National Vulnerability Database com o código CVE-2025-59489 e recebeu uma pontuação CVSS de 8.4, o que indica um alto nível de gravidade. Essa pontuação reflete o potencial de impacto da vulnerabilidade na segurança dos sistemas afetados.

Como a vulnerabilidade pode ser explorada por atacantes?

Ela permite que argumentos sejam injetados durante a inicialização de aplicativos criados com Unity, o que pode levar ao carregamento de bibliotecas de código em locais inesperados. Isso abre espaço para execução de código malicioso ou acesso a informações confidenciais, dependendo do nível de privilégio do aplicativo vulnerável.

Existe algum risco imediato para os usuários?

Até o momento, não há evidências de que a vulnerabilidade tenha sido explorada ativamente. No entanto, como a falha agora é pública, especialistas alertam para o risco de que jogos mais antigos criados com Unity possam se tornar alvos de ataques, especialmente se não forem atualizados.

O que os desenvolvedores e usuários devem fazer para se proteger?

É essencial atualizar o Unity para uma versão corrigida, a partir da 2019.1, que recebeu o patch de segurança lançado em 2 de outubro de 2025. Compilações mais antigas não receberão correção. Usuários devem evitar executar jogos vulneráveis até que sejam atualizados pelos desenvolvedores.

Como a Valve e a Microsoft reagiram à descoberta da falha?

A Valve atualizou o cliente do Steam para bloquear a inicialização de softwares que utilizem parâmetros de linha de comando associados à vulnerabilidade. Já a Microsoft emitiu um alerta recomendando a desinstalação temporária de jogos vulneráveis até que sejam corrigidos.

Igor Almenara Carneiro

Redator de tecnologia desde 2019, ex-Canaltech, atualmente TecMundo e um assíduo universitário do curso de Bacharel em Sistemas de Informação. Pai de pet, gamer e amante de músicas desconhecidas.

local_mall