Steam waarschuwt voor Unity-kwetsbaarheid in games vanaf Unity 2017.1

Steam-maker Valve waarschuwt gamemakers voor een kwetsbaarheid die via de Unity-game-editorversie 2017.1 uit 2017 geïntroduceerd is en nog steeds van toepassing is. Er is volgens Unity geen indicatie dat de kwetsbaarheid daadwerkelijk actief misbruikt wordt.

De Steam-client blokkeert in bepaalde gevallen automatisch games op basis van Unity 2017.1 of nieuwer. Wanneer spellen worden gestart via een OS-snelkoppeling of een custom URI, ofwel 'steam://', en een bepaalde 'commandlineparameter' hebben die geassocieerd wordt met de kwetsbaarheid, blokkeert de client de game automatisch. In alle andere gevallen verschijnt er een waarschuwing.

De kwetsbaarheid CVE-2025-59489 is van toepassing op games die de vermelde versie van de Unity Editor of nieuwer gebruiken. Naar schatting worden jaarlijks alleen al duizenden games gemaakt met de Unity Editor uitgebracht.

Op een supportpagina laat Unity weten hoe ontwikkelaars hun games en apps het beste kunnen updaten, namelijk door de applicatie opnieuw te bouwen met een gepatchte versie van de Editor. Ook Microsoft heeft een supportpagina gepubliceerd. Volgens Unity zijn alle grote antivirusproviders ingelicht en wordt er met die bedrijven gewerkt voor extra beveiligingsmaatregelen.

De kwetsbaarheid geldt voor apps op Windows, Android, macOS en Linux. Dankzij de kwetsbaarheid zouden hackers willekeurige code kunnen uitvoeren via een commandlinefunctie waarmee Unity-apps code kunnen uitvoeren. Voor zover bekend zijn applicaties voor iOS, Xbox, Nintendo Switch, PlayStation, UWP, Quest en WebGL niet kwetsbaar.

Door Yannick Spinner

Redacteur

04-10-2025 • 10:36

35

Submitter: bleuthoot

Reacties (35)

Sorteer op:

Weergave:

Hoe weet ik als steam gebruiker op welke games dit van toepassing is?
Dat zal de producent van de game op hun supportpagina's moeten vermelden, of hun gebruikers op een andere manier informeren.

Microsoft heeft hun eigen getroffen games (29 stuks) in ieder geval wel netjes op de gelinkte Support-pagina vermeld: CVE-2025-59489 - Security Update Guide - Microsoft - MITRE: CVE-2025-59489 Unity Gaming Engine Editor vulnerability (onderaan de pagina in de tabel).
Maar als klant heb ik toch een overeenkomst met de verkoper (=Steam) en niet de fabrikant(uitgever of ontwikkelaar)? Er staan bijvoorbeeld ook genoeg spellen op steam waarvan de studio niet eens meer bestaan, dan zou niemand daar dus de verantwoordelijk voor zijn.

Terugroepacties van eten/drinken wordt je 9 van de 10 keer toch ook via de supermarkt over geinformeerd en niet de site van de fabrikant welke vrijwel niemand bezoekt?
Geen idee of het zichtbaar is maar als Valve niet weet met welke versie een spel gemaakt is, dan is wat ze nu doen het hoogst haalbare. Trouwens als een fabrikant niet meer bestaat, dan zal het spel ook gedelist worden in de steam-store, want dan is er niemand meer die voor de listing betaalt of eraan verdient. Het zal dan wel nog gewoon in je library blijven.
Volgens mij zijn er ook al opties om bestaande binaries te kunnen patchen en het deel van de code met het probleem onbereikbaar te maken, dus wellicht dat Steam dat als developers het zelf niet oplossen dat kan doen op de games die ze aanbieden? Al ga je dan ook wel een gevaarlijk precedent neerzetten natuurlijk, als een distributieplatform binaries gaat lopen aanpassen. Dus daar zullen ze dan een goede afweging in moeten maken.
Als ik het goed begrijp zit de kwetsbaarheid in commandline argumenten die meegegeven worden bij het starten van een game. Als een game in Steam aangeroepen wordt op zo'n manier blokkeert de Steam client de oproep als deze de door Unity beschreven parameters waar het probleem mee kan optreden bevatten, maar in alle andere gevallen krijg je als gebruiker ook eerst nog een waarschuwing (niet specifiek over deze kwetsbaarheid, maar ik denk dat je die game op aan het starten bent... dus als je niet specifiek dat aan het proberen was dan is dat ook al een red flag natuurlijk).
Dergelijke terugroepacties worden uiteraard wel vanuit de fabrikant geïnitieerd (of waarschijnlijk eerder door de autoriteiten rond voedselveiligheid). De communicatie verloopt dan via de handelaren. Je hebt gelijk dat de supermarkt verantwoordelijk is vanuit oogpunt van de consument, maar ik neem aan dat zij die typisch door kunnen zetten naar de fabrikant. Voor Valve/Steam zullen de clausules vergelijkbaar zijn, ze zullen geen risico’s naar zich toe willen trekken en zijn dus slechts verantwoordelijk voor precies het deel dat Steam ten dele komt. Steam kan het dus verder communiceren, maar het initiatief zal niet bij hen liggen.
Steam heeft het probleem inmiddels verholpen.
https://steamcommunity.co...detail/524229329545071275

Maar dit was van toepassing op zo'n 50% van de games op Steam! Dus best wel een groot ding, ook al is de kans op misbruik best klein (de beveiligingsonderzoeker wist geen manier te vinden om het op afstand te misbruiken).

[Reactie gewijzigd door Wolfos op 4 oktober 2025 12:45]

Niet druk maken, zolang jij je games normaal start via steam en niet via een of andere link zit je goed. Dit wordt wel heel erg opgeblazen..
Niet druk maken, zolang jij je games normaal start via steam en niet via een of andere link zit je goed. Dit wordt wel heel erg opgeblazen..
Het probleem zit hem er in wanneer je games niet normaal start via Steam.
De vraag is of de blokkade die Valve gebruikt, dan ook nog werkt.

Want anders hoeven malware auteurs enkel een andere weg te vinden om een gebruiker zover te krijgen een lokaal proces te lanceren met misbruik van de exploiteerbare commandline parameters. En uit wat Bor eerder heeft geplaatst is af te leiden dat het kennelijk al mogelijk is de blokkade te omzeilen: Bor in 'Steam waarschuwt voor Unity-kwetsbaarheid in games vanaf Unity 2017.1'
Dat is precies wat ik schreef toch? En als je je zorgen moet maken dat malware dat gaat targetten.. Wat wil je dan uiteindelijk bereiken ipv dat je powershell opstart met bypass als malware creator? om maar een simpel voorbeeld te noemen...
En dit lijkt meer op een steam issue waar ze de parameters vam steam links gewoon zonder te controleren doorgeven aan de game's executable
Niet echt, want wat jij als parameter doorgeeft aan een spel, dient het spel af te handelen en niet het platform waar het op gehost wordt. Steam kan moeilijk zeggen jij mag dit of dat niet als parameter in jou game inbouwen... Simepele checks in de games zelf lost het allemaal op..
Bor Coördinator Frontpage Admins / FP Powermod @Sylph-DS4 oktober 2025 10:57
Dat is een hele goede vraag. Er blijkt helaas geen optie te zijn om een lijstje te genereren. Ik zie bij games ook geen waarschuwing staan in de store of ik kijk er overheen.
Je kan op pcgamingwiki opzoeken wat voor engine een game gebruikt. Zover ik het begrijp zijn alle Unity games sinds 2017 fucked.
Bor Coördinator Frontpage Admins / FP Powermod @emeralda4 oktober 2025 11:35
Zover ik het begrijp zijn alle Unity games sinds 2017 fucked.
Nee dat hoeft niet gezien het eea gepatched kan zijn. Oplossing: Rebuild with a patched Unity Editor
Alle games waarvan de laatste update tussen 2017 en gisteren ligt zijn potentieel in gevaar denk ik dan.
Subnautica was de eerste Unity game die vandaag gepatcht werd door Steam op mijn systeem.

Vond dit Unity curator lijstje via google: https://store.steampowered.com/curator/45049063-Made-With-Unity-Official/
Maar ik heb geen idee welke games op die uitgebreide lijst deze specifieke Unity Editor kwetsbaarheid bevatten.
Als ik dit zo hoor denk ik dat alle games die sinds 2017 gereleased of gepatched zijn dit probleem zullen hebben...
Alle Unity games sinds 2017. Strikt gezien heeft het alleen impact op games die externe URLs verwerken, maar gezien dat Steam en MS Store URLs gebruiken om zaken als player invites te communiceren naar games, zullen er heel wat (voornamelijk multiplayer) games zijn die gevoelig zijn voor dit issue.

Unity is erg netjes geweest door patches uit te brengen voor engine versies die heel wat jaren terug gaan, inclusief versies die al lang niet meer officieel supported zijn, en daarnaast een patching tool te bouwen die games kan fixen zonder een nieuwe build te vereisen. Desondanks vermoed ik dat het nog wel een hele opgave gaat worden om game devs te overtuigen hun oude games tot wel 8 jaar terug te patchen.
Wat achtergrond: https://unity.com/security/sept-2025-01

Alle Unity versies vanaf 2017 hebben hier last van. Het gaat dus niet alleen om oude Unity games, ook nieuwe games en alles er tussenin.

Het lek is gedicht, maar alles wat uitgebracht is sinds 2017 moet gepatcht worden.
Ik vraag me af of oude games die weinig geld opbrengen nog een patch zullen krijgen.

Laatst nog Tacoma gespeeld.
Of waar de ontwikkel studio niet meer bestaat
Dat euvel wordt hier in de EU nog enigzins afgevangen door het feit dat de verkoper aansprakelijk is en niet de fabrikant.

De verkoper in deze is Steam, en onder Richtlijn 2019/770 inzake verkoop van digitale inhoud en diensten is de wijze waarop videogames 'evergreen' a/d man gebracht wordt door Steam een geval van zgn. continue levering, waarbij de verkoper aansprakelijk blijft zolang de levering voortduurt.

Maw dit zou een geval van non-conformiteit aan contract zijn a/d kant van Valve, en waar zij niet actie kunnen ondernemen om de digitale inhoud in kwestie weer in conformiteit te brengen heb je als consument het recht de koop te ontbinden en recht op volledige vergoeding van de originele aankoopsom.

Je krijgt er niet ineens een weer veilig werkende videogame door; maar bent als je uit veiligheidsoverwegingen je handen er niet meer aan wilt branden, ook niet je geld ineens kwijt.


Deze gedeeltes van de Richtlijn in kwestie horen trouwens ook met terugwerkende kracht geldig te zijn op elke aanschaf die toen in 2022 de lokale wetgeving die de Richtlijn implementeerde, in werking trad nog actief geleverd werd - wat bij elke aanschaf op Steam zo is.

[Reactie gewijzigd door R4gnax op 4 oktober 2025 13:01]

Zo te zien heeft Unity alleen patches uitgebracht voor de editor vanaf versie 2019. Dat betekent dus dat games die met de 2017 of 2018 versie zijn gebouwd, een upgrade moeten doen naar 2019 of hoger. Realistisch gezien gaat dit dus nooit gebeuren, aangezien er dan tijd in gestopt moet worden om eventuele breaking changes vanuit de nieuwere editor te fixen, en hier is natuurlijk geen tijd of geld voor vanuit de studio's en publishers.
Voor 2017 en 2018 is er ook een andere optie. Er is ook een tool van Unity die een build (ofwel game) van elke getroffen engineversie kan hotfixen (dus dan hoef je in theorie niet eens opnieuw te builden). Zie ook optie 2 hier: https://unity.com/security/sept-2025-01/remediation

[Reactie gewijzigd door ramonster86 op 4 oktober 2025 12:05]

Kun je dit dan ook gewoon als gebruiker zelf toepassen op al geïnstalleerde spellen die vatbaar zijn en waarschijnlijk niet worden geupdate?

Ik heb rond de 1000 games op Steam waarvan ook een groot deel indie titels die al lang geen support meer krijgen en wordt een peetje paranoïde van dit soort berichten, vooral omdat ik verder totaal niet thuis ben in engine versies e.d.
Naar mijn mening is dit de best mogelijke reactie van Valve. Je wordt wel gewaarschuwd, maar je kunt de games gewoon blijven spelen zolang er geen directe aanwijzing is dat er misbruik van wordt gemaakt. Geen overreactie zoals je vaak ziet waarbij alles gelijk onklaar gemaakt wordt, maar ook het probleem niet negeren. Chapeau!
Bor Coördinator Frontpage Admins / FP Powermod @roelst14 oktober 2025 10:58
De games zijn via de steam client standaard niet op te starten. Valve blokkeert ze wel degelijk. Alleen met een omweg werkt het nog (en dat is misschien wel een kwetsbaarheid op zich):
De Steam-client blokkeert in bepaalde gevallen automatisch games op basis van Unity 2017.1 of nieuwer.
De games zijn wel op te starten via steam, ze worden alleen geblokkeerd als steam detecteerd de snelkoppeling/commamd-line waarmee de game is gestart de exploit bevat.
Dus dat was die kleine update zonder notes, die plots begon te downloaden voor Humankind!
Unity heeft een patcher uitgebracht waardoor je niet een rebuild hoeft te maken, dus dat zou je nog zelf kunnen uitvoeren. Deze vervangt UnityPlayer.dll (Windows), UnityPlayer.dylib (MacOS), libunity.so (Android) met de gefixte variant. Als uitgever moet je dit natuurlijk doen vooral op Android met geldige certificaten etc.

https://security-patches.unity.com/bc0977e0-21a9-4f6e-9414-4f44b242110a/unity-patcher/UnityApplicationPatcher-1.0.6-Win.zip
Volgens mij zijn veel games die onze moeders en oma's spelen gebaseerd op Unity, correct? Point and click, puzzel en andere simpele arcade games.
Valt best mee hoor, Batman, Prince of Persia, Postal, 7Days to Die, Subnautica, Among Us en nog veel meer..
https://store.steampowered.com/curator/39750107-Games-Made-With-Unity/


Om te kunnen reageren moet je ingelogd zijn