Unity advierte sobre una vulnerabilidad de seguridad de casi una década

• Una vulnerabilidad de seguridad crítica ha sido descubierta en Unity, presente en versiones desde 2017.1 en adelante.
• La falla permite ataques de carga de archivos inseguros y acceso a archivos locales, con una puntuación de severidad alta (8,4 CVSS).
• Unity ha lanzado un parche y recomienda a los desarrolladores recompilar y republicar sus aplicaciones para mitigar el riesgo.

Unity ha emitido una advertencia urgente a los desarrolladores sobre una vulnerabilidad de seguridad que ha permanecido oculta durante casi diez años. La falla, presente en las versiones del motor gráfico 2017.1 y posteriores, afecta a los sistemas operativos Android, Windows, Linux y macOS. Fue descubierta el 4 de junio de este año y parcheada el 2 de octubre, permitiendo a los atacantes realizar cargas de archivos inseguros y ataques de inclusión de archivos locales, con el potencial de ejecutar código o robar información a nivel de la aplicación vulnerable.

A pesar de la gravedad de la vulnerabilidad, Unity asegura que no hay evidencia de explotación ni de impacto en usuarios o clientes. Sin embargo, la compañía recomienda encarecidamente a los creadores de juegos y aplicaciones que utilicen versiones afectadas que descarguen la actualización parcheada a través del Unity Hub o el Unity Download Archive. Para aquellos que desarrollaron aplicaciones con versiones 2017.1 o posteriores, se recomienda encarecidamente recompilar y republicar sus aplicaciones. Si bien las herramientas de seguridad de Android y Microsoft Defender para Windows ya detectan y bloquean la vulnerabilidad, y Valve está implementando protecciones adicionales, la recomendación principal es actualizar el motor.

Unity también ha publicado una herramienta para parchear aplicaciones en Android, Windows y macOS, aunque esta no es compatible con builds que incluyan medidas anti-manipulación o anti-trampas, ni con Linux. Para este último sistema operativo, la compañía sugiere reconstruir la aplicación con un Editor de Unity parcheado. Unity aclara que la corrección es poco probable que rompa la mayoría de los juegos, pero insiste en la importancia de mantener el software actualizado. Los desarrolladores deben informar a sus usuarios sobre la necesidad de mantener sus dispositivos y aplicaciones al día para garantizar la seguridad.