Security

Steam dan Microsoft Peringatkan Cacat Keamanan di Unity yang Dapat Mengekspos Gamer ke Serangan

Valve (Steam) dan Microsoft memperingatkan pengguna mengenai celah kritis pada mesin game Unity, yang dapat memungkinkan penyerang mengeksekusi kode berbahaya di Android dan melakukan eskalasi hak akses di Windows.

Kerentanan ini dilacak sebagai CVE-2025-59489, ditemukan oleh peneliti keamanan RyotaK dari GMO Flatt Security pada Mei 2025, dan memengaruhi semua game yang dibangun menggunakan Unity versi 2017.1 hingga terbaru.


🔍 Ringkasan Kerentanan

Masalah ini terdapat pada komponen Runtime Unity, yang memiliki kelemahan dalam proses pemanggilan file library eksternal (unsafe file loading) dan local file inclusion.
Celah ini memungkinkan:

  • Eksekusi kode lokal berbahaya di perangkat pengguna,
  • Akses ke data sensitif aplikasi atau game yang rentan.

“Cacat ini dapat dimanfaatkan untuk mengeksekusi kode dengan hak akses aplikasi yang rentan,” tulis Unity dalam buletin keamanannya.


⚠️ Dampak dan Produk yang Rentan

Penyerang dapat memanfaatkan bug ini dengan membuat aplikasi berbahaya yang berada di perangkat yang sama (Android), atau melalui argumen baris perintah yang tidak tervalidasi di Windows, macOS, dan Linux.

Akibatnya, aplikasi atau game berbasis Unity dapat disusupi untuk memuat library buatan penyerang, membuka jalan bagi injeksi kode.

Beberapa judul game populer yang disebutkan berpotensi terdampak:

  • Hearthstone
  • The Elder Scrolls: Blades
  • Fallout Shelter
  • DOOM (2019)
  • Wasteland 3
  • Forza Customs

🧩 Tanggapan dari Vendor

Valve (Steam) segera merilis pembaruan klien yang memblokir peluncuran skema URI kustom guna mencegah eksploitasi melalui distribusi game di platformnya.
Valve juga meminta pengembang untuk:

  • Membangun ulang (rebuild) game menggunakan versi Unity yang sudah diperbaiki, atau
  • Mengganti file UnityPlayer.dll pada build lama dengan versi yang telah ditambal.

Sementara itu, Microsoft mengeluarkan peringatan resmi (security bulletin) dan menyarankan pengguna untuk menghapus sementara game yang rentan hingga pembaruan keamanan dirilis.


🛠️ Solusi dan Patch dari Unity

Unity telah merilis patch keamanan untuk cabang 2019.1 dan versi lebih baru, termasuk beberapa versi lama yang sudah tidak didukung (EOL).
Versi sebelum 2019.1 tidak akan menerima pembaruan dan disarankan untuk migrasi ke versi Unity terbaru.

Langkah mitigasi resmi dari Unity:

  1. Perbarui Unity Editor ke versi terbaru.
  2. Rebuild dan redeploy aplikasi/game dengan runtime yang telah diperbarui.
  3. Ganti file runtime (UnityPlayer.dll) dengan versi yang telah ditambal jika tidak memungkinkan rebuild penuh.

Hingga 2 Oktober 2025, Unity menyebut belum ada eksploitasi aktif yang terdeteksi di alam liar.


💡 Penjelasan Teknis Singkat

Menurut analisis RyotaK, celah ini berakar pada penanganan argumen -xrsdk-pre-init-library yang tidak tervalidasi dengan baik di Unity.
Pada Android, ini memungkinkan aplikasi berbahaya memuat native library milik penyerang melalui sistem Android Intents.
Sedangkan di Windows, macOS, dan Linux, bug ini dapat dimanfaatkan melalui argumen input tidak tepercaya atau manipulasi jalur pencarian library.


🧱 Kesimpulan

CVE-2025-59489 menunjukkan betapa luas dampak keamanan dari bug di mesin game lintas platform seperti Unity — terutama karena ribuan game, baik mobile maupun PC, bergantung pada runtime yang sama.

Para pengembang disarankan untuk segera memperbarui build Unity mereka, sementara pengguna harus menunda menjalankan game lama yang belum diperbarui hingga patch resmi dirilis oleh penerbit.


Sumber: BleepingComputer

Leave a Reply

Your email address will not be published. Required fields are marked *

Back to top button