Разработчики популярного игрового движка сообщили об обнаружении в коде редактора Unity Game Engine Editor уязвимости Unity-Sec-844. Баг позволяет удаленно выполнить на уязвимом устройстве произвольный код (Remote Code Execution, RCE).
Проблеме подвержены все версии для Windows (на вариацию для Mac опасность не распространяется) – бесплатная для личного использования, Plus и Pro.
Разработчики уже представили несколько патчей для разных версий Windows, но так как охватить все разнообразие систем Microsoft и старых версий редактора не вышло, также был выпущен специальный инструмент для снижения рисков (Mitigation Tool). Пользователям устаревших версий рекомендуется использовать это решение, которое немного «подправит» Windows и усложнит эксплуатацию бреши. Однако разработчики все же советуют обновить ПО до актуального состояния, это более предпочтительный вариант.
В официальном бюллетене не сообщается, кто именно обнаружил уязвимость. Также разработчики не пишут, известно ли им что-либо о существовании эксплоитов для данной проблемы. Чуть больше подробностей можно найти лишь на странице FAQ, где сказано, что проблема в редакторе связана с валидацией данных, поступающих из строки ввода. Сами игры, для которых мог использоваться уязвимый редактор, баг не компрометирует.