Steam waarschuwt voor Unity-kwetsbaarheid in games vanaf Unity 2017.1

Steam-maker Valve waarschuwt gamemakers voor een kwetsbaarheid die via de Unity-game-editorversie 2017.1 uit 2017 geïntroduceerd is en nog steeds van toepassing is. Er is volgens Unity geen indicatie dat de kwetsbaarheid daadwerkelijk actief misbruikt wordt.

De Steam-client blokkeert in bepaalde gevallen automatisch games op basis van Unity 2017.1 of nieuwer. Wanneer spellen worden gestart via een OS-snelkoppeling of een custom URI, ofwel 'steam://', en een bepaalde 'commandlineparameter' hebben die geassocieerd wordt met de kwetsbaarheid, blokkeert de client de game automatisch. In alle andere gevallen verschijnt er een waarschuwing.

De kwetsbaarheid CVE-2025-59489 is van toepassing op games die de vermelde versie van de Unity Editor of nieuwer gebruiken. Naar schatting worden jaarlijks alleen al duizenden games gemaakt met de Unity Editor uitgebracht.

Op een supportpagina laat Unity weten hoe ontwikkelaars hun games en apps het beste kunnen updaten, namelijk door de applicatie opnieuw te bouwen met een gepatchte versie van de Editor. Ook Microsoft heeft een supportpagina gepubliceerd. Volgens Unity zijn alle grote antivirusproviders ingelicht en wordt er met die bedrijven gewerkt voor extra beveiligingsmaatregelen.

De kwetsbaarheid geldt voor apps op Windows, Android, macOS en Linux. Dankzij de kwetsbaarheid zouden hackers willekeurige code kunnen uitvoeren via een commandlinefunctie waarmee Unity-apps code kunnen uitvoeren. Voor zover bekend zijn applicaties voor iOS, Xbox, Nintendo Switch, PlayStation, UWP, Quest en WebGL niet kwetsbaar.

Door Yannick Spinner

Redacteur

04-10-2025 • 10:36

47

Submitter: bleuthoot

Reacties (47)

Sorteer op:

Weergave:

Hoe weet ik als steam gebruiker op welke games dit van toepassing is?
Dat zal de producent van de game op hun supportpagina's moeten vermelden, of hun gebruikers op een andere manier informeren.

Microsoft heeft hun eigen getroffen games (29 stuks) in ieder geval wel netjes op de gelinkte Support-pagina vermeld: CVE-2025-59489 - Security Update Guide - Microsoft - MITRE: CVE-2025-59489 Unity Gaming Engine Editor vulnerability (onderaan de pagina in de tabel).
Maar als klant heb ik toch een overeenkomst met de verkoper (=Steam) en niet de fabrikant(uitgever of ontwikkelaar)? Er staan bijvoorbeeld ook genoeg spellen op steam waarvan de studio niet eens meer bestaan, dan zou niemand daar dus de verantwoordelijk voor zijn.

Terugroepacties van eten/drinken wordt je 9 van de 10 keer toch ook via de supermarkt over geinformeerd en niet de site van de fabrikant welke vrijwel niemand bezoekt?
Geen idee of het zichtbaar is maar als Valve niet weet met welke versie een spel gemaakt is, dan is wat ze nu doen het hoogst haalbare. Trouwens als een fabrikant niet meer bestaat, dan zal het spel ook gedelist worden in de steam-store, want dan is er niemand meer die voor de listing betaalt of eraan verdient. Het zal dan wel nog gewoon in je library blijven.
Volgens mij zijn er ook al opties om bestaande binaries te kunnen patchen en het deel van de code met het probleem onbereikbaar te maken, dus wellicht dat Steam dat als developers het zelf niet oplossen dat kan doen op de games die ze aanbieden? Al ga je dan ook wel een gevaarlijk precedent neerzetten natuurlijk, als een distributieplatform binaries gaat lopen aanpassen. Dus daar zullen ze dan een goede afweging in moeten maken.
Als ik het goed begrijp zit de kwetsbaarheid in commandline argumenten die meegegeven worden bij het starten van een game. Als een game in Steam aangeroepen wordt op zo'n manier blokkeert de Steam client de oproep als deze de door Unity beschreven parameters waar het probleem mee kan optreden bevatten, maar in alle andere gevallen krijg je als gebruiker ook eerst nog een waarschuwing (niet specifiek over deze kwetsbaarheid, maar ik denk dat je die game op aan het starten bent... dus als je niet specifiek dat aan het proberen was dan is dat ook al een red flag natuurlijk).
Dergelijke terugroepacties worden uiteraard wel vanuit de fabrikant geïnitieerd (of waarschijnlijk eerder door de autoriteiten rond voedselveiligheid). De communicatie verloopt dan via de handelaren. Je hebt gelijk dat de supermarkt verantwoordelijk is vanuit oogpunt van de consument, maar ik neem aan dat zij die typisch door kunnen zetten naar de fabrikant. Voor Valve/Steam zullen de clausules vergelijkbaar zijn, ze zullen geen risico’s naar zich toe willen trekken en zijn dus slechts verantwoordelijk voor precies het deel dat Steam ten dele komt. Steam kan het dus verder communiceren, maar het initiatief zal niet bij hen liggen.
Steam heeft het probleem inmiddels verholpen.
https://steamcommunity.co...detail/524229329545071275

Maar dit was van toepassing op zo'n 50% van de games op Steam! Dus best wel een groot ding, ook al is de kans op misbruik best klein (de beveiligingsonderzoeker wist geen manier te vinden om het op afstand te misbruiken).

[Reactie gewijzigd door Wolfos op 4 oktober 2025 12:45]

Maar wat is het probleem? Unity accepteert een commandline optie in release mode die een custom data folder toevoegt of iets dergelijks?
Een command line optie waarmee je eigen code kunt inladen die dan onder het gameproces draait. Maar die code moet dus al op het systeem aanwezig zijn. Nu Steam dat niet meer vanaf afstand toestaat (via steam:// urls) is de kans dat dit misbruikt word echt nihil.

Het is wel een probleem wanneer de game als admin draait, maar dat is normaal gesproken niet het geval.
Niet druk maken, zolang jij je games normaal start via steam en niet via een of andere link zit je goed. Dit wordt wel heel erg opgeblazen..
Niet druk maken, zolang jij je games normaal start via steam en niet via een of andere link zit je goed. Dit wordt wel heel erg opgeblazen..
Het probleem zit hem er in wanneer je games niet normaal start via Steam.
De vraag is of de blokkade die Valve gebruikt, dan ook nog werkt.

Want anders hoeven malware auteurs enkel een andere weg te vinden om een gebruiker zover te krijgen een lokaal proces te lanceren met misbruik van de exploiteerbare commandline parameters. En uit wat Bor eerder heeft geplaatst is af te leiden dat het kennelijk al mogelijk is de blokkade te omzeilen: Bor in 'Steam waarschuwt voor Unity-kwetsbaarheid in games vanaf Unity 2017.1'
Dat is precies wat ik schreef toch? En als je je zorgen moet maken dat malware dat gaat targetten.. Wat wil je dan uiteindelijk bereiken ipv dat je powershell opstart met bypass als malware creator? om maar een simpel voorbeeld te noemen...
En dit lijkt meer op een steam issue waar ze de parameters vam steam links gewoon zonder te controleren doorgeven aan de game's executable
Niet echt, want wat jij als parameter doorgeeft aan een spel, dient het spel af te handelen en niet het platform waar het op gehost wordt. Steam kan moeilijk zeggen jij mag dit of dat niet als parameter in jou game inbouwen... Simepele checks in de games zelf lost het allemaal op..
Bor Coördinator Frontpage Admins / FP Powermod @Sylph-DS4 oktober 2025 10:57
Dat is een hele goede vraag. Er blijkt helaas geen optie te zijn om een lijstje te genereren. Ik zie bij games ook geen waarschuwing staan in de store of ik kijk er overheen.
Je kan op pcgamingwiki opzoeken wat voor engine een game gebruikt. Zover ik het begrijp zijn alle Unity games sinds 2017 fucked.
Bor Coördinator Frontpage Admins / FP Powermod @emeralda4 oktober 2025 11:35
Zover ik het begrijp zijn alle Unity games sinds 2017 fucked.
Nee dat hoeft niet gezien het eea gepatched kan zijn. Oplossing: Rebuild with a patched Unity Editor
Alle games waarvan de laatste update tussen 2017 en gisteren ligt zijn potentieel in gevaar denk ik dan.
Subnautica was de eerste Unity game die vandaag gepatcht werd door Steam op mijn systeem.

Vond dit Unity curator lijstje via google: https://store.steampowered.com/curator/45049063-Made-With-Unity-Official/
Maar ik heb geen idee welke games op die uitgebreide lijst deze specifieke Unity Editor kwetsbaarheid bevatten.
Als ik dit zo hoor denk ik dat alle games die sinds 2017 gereleased of gepatched zijn dit probleem zullen hebben...
Alle Unity games sinds 2017. Strikt gezien heeft het alleen impact op games die externe URLs verwerken, maar gezien dat Steam en MS Store URLs gebruiken om zaken als player invites te communiceren naar games, zullen er heel wat (voornamelijk multiplayer) games zijn die gevoelig zijn voor dit issue.

Unity is erg netjes geweest door patches uit te brengen voor engine versies die heel wat jaren terug gaan, inclusief versies die al lang niet meer officieel supported zijn, en daarnaast een patching tool te bouwen die games kan fixen zonder een nieuwe build te vereisen. Desondanks vermoed ik dat het nog wel een hele opgave gaat worden om game devs te overtuigen hun oude games tot wel 8 jaar terug te patchen.
Op SteamDb kijken in de depots van een game, bijvoorbeeld deze van Megabonk https://steamdb.info/depot/3405342/

als er UnityCrashHandler64.exe in staat is het een Unity game en als je globalgamemanagers.assets ziet staan dan draait de game op Unity 2017 of een latere versie. In de History sectie kan je zien wanneer de laatste update is geweest als die van voor oktober is dan weet je zeker dat de game niet gepatched is.

[Reactie gewijzigd door Smash1231 op 4 oktober 2025 23:15]

Wat achtergrond: https://unity.com/security/sept-2025-01

Alle Unity versies vanaf 2017 hebben hier last van. Het gaat dus niet alleen om oude Unity games, ook nieuwe games en alles er tussenin.

Het lek is gedicht, maar alles wat uitgebracht is sinds 2017 moet gepatcht worden.
Ik vraag me af of oude games die weinig geld opbrengen nog een patch zullen krijgen.

Laatst nog Tacoma gespeeld.
Of waar de ontwikkel studio niet meer bestaat
Dat euvel wordt hier in de EU nog enigzins afgevangen door het feit dat de verkoper aansprakelijk is en niet de fabrikant.

De verkoper in deze is Steam, en onder Richtlijn 2019/770 inzake verkoop van digitale inhoud en diensten is de wijze waarop videogames 'evergreen' a/d man gebracht wordt door Steam een geval van zgn. continue levering, waarbij de verkoper aansprakelijk blijft zolang de levering voortduurt.

Maw dit zou een geval van non-conformiteit aan contract zijn a/d kant van Valve, en waar zij niet actie kunnen ondernemen om de digitale inhoud in kwestie weer in conformiteit te brengen heb je als consument het recht de koop te ontbinden en recht op volledige vergoeding van de originele aankoopsom.

Je krijgt er niet ineens een weer veilig werkende videogame door; maar bent als je uit veiligheidsoverwegingen je handen er niet meer aan wilt branden, ook niet je geld ineens kwijt.


Deze gedeeltes van de Richtlijn in kwestie horen trouwens ook met terugwerkende kracht geldig te zijn op elke aanschaf die toen in 2022 de lokale wetgeving die de Richtlijn implementeerde, in werking trad nog actief geleverd werd - wat bij elke aanschaf op Steam zo is.

[Reactie gewijzigd door R4gnax op 4 oktober 2025 13:01]

Ik zit absoluut niet in de wetgevingen o.i.d., maar je zou toch denken dat Steam zich op 1 of andere manier heeft ingedekt hiertegen.

Stel er komt wel een serieuze lek aan het licht waar heel veel games last van hebben. Maar ook games van uitgevers die al lang gestopt zijn/ failliet zijn. En Steam is genoodzaakt 100 games offline te halen omdat ze niet veilig meer zijn. Dan gaan straks 500.000 mensen geld terug eisen voor die games. Steam zelf kan er ook weinig aan doen en ook Steam kan niet meer naar een uitgever om zijn geld terug te halen. Dan zou Steam ineens op zijn bek gaan omdat al die games niet meer veilig zijn xD. Dan zou ik als Steam lekker alles online laten met een dikke waarschuwing 'play at your own risk'. Tis niet aan Steam om problemen te fixen die buiten hun om zijn ontstaan lijkt mij.

That said, nu ik erover nadenk vraag ik mij sowieso af in hoeverre Steam echt de 'verkoper' is, het is een platform waarover games lopen, maar de publishers lijken mij nog altijd de verkoper en niet Steam. Net zoals dat je via bol.com ook van heel veel andere kleinere winkels rechtstreekse leveringen kan krijgen, bol.com is alleen de tussenpartij.
Stel er komt wel een serieuze lek aan het licht waar heel veel games last van hebben. Maar ook games van uitgevers die al lang gestopt zijn/ failliet zijn. En Steam is genoodzaakt 100 games offline te halen omdat ze niet veilig meer zijn. Dan gaan straks 500.000 mensen geld terug eisen voor die games. Steam zelf kan er ook weinig aan doen en ook Steam kan niet meer naar een uitgever om zijn geld terug te halen. Dan zou Steam ineens op zijn bek gaan omdat al die games niet meer veilig zijn xD.
Dat heet ondernemersrisico.
Als hen dat niet aanstaat, moeten ze een ander bedrijfsmodel gaan voeren. Bijv. zoals streaming diensten, waar je maandelijks betaalt voor toegang tot het totaalaanbod en wat er in dat aanbod kan zitten onderhevig is aan voorwaarden.
Dan zou ik als Steam lekker alles online laten met een dikke waarschuwing 'play at your own risk'. Tis niet aan Steam om problemen te fixen die buiten hun om zijn ontstaan lijkt mij.
Dat kan niet. Je kunt je niet onder wettelijke aansprakelijkheid uit draaien.
That said, nu ik erover nadenk vraag ik mij sowieso af in hoeverre Steam echt de 'verkoper' is, het is een platform waarover games lopen, maar de publishers lijken mij nog altijd de verkoper en niet Steam. Net zoals dat je via bol.com ook van heel veel andere kleinere winkels rechtstreekse leveringen kan krijgen, bol.com is alleen de tussenpartij.
Nee. Als je de Steam Subscriber Agreement er op na slaat zie je dat alle contracten geboden worden vanuit Steam, tenzij expliciet anders aangegeven. (Wat eigenlijk enkel het geval is bij MMO games waar je maandelijkse abonnementen afsluit, direct bij de uitgever.) Steam is in veruit de meeste gevallen gewoon de wederpartij voor de koopovereenkomst, dus. Blijkt ook uit het afschrift van de koop dat ze uit wettelijke verplichting naar je email adres sturen, waar - ook wettelijk verplicht - de contactgegevens van de verkoper in moeten staan. En dat is dus ook Steam.

[Reactie gewijzigd door R4gnax op 4 oktober 2025 20:26]

Ik zit me zo te bedenken dat als een game wordt verkocht op Steam er in ieder geval nog iemand verantwoordelijk voor is.
Zo te zien heeft Unity alleen patches uitgebracht voor de editor vanaf versie 2019. Dat betekent dus dat games die met de 2017 of 2018 versie zijn gebouwd, een upgrade moeten doen naar 2019 of hoger. Realistisch gezien gaat dit dus nooit gebeuren, aangezien er dan tijd in gestopt moet worden om eventuele breaking changes vanuit de nieuwere editor te fixen, en hier is natuurlijk geen tijd of geld voor vanuit de studio's en publishers.
Voor 2017 en 2018 is er ook een andere optie. Er is ook een tool van Unity die een build (ofwel game) van elke getroffen engineversie kan hotfixen (dus dan hoef je in theorie niet eens opnieuw te builden). Zie ook optie 2 hier: https://unity.com/security/sept-2025-01/remediation

[Reactie gewijzigd door ramonster86 op 4 oktober 2025 12:05]

Kun je dit dan ook gewoon als gebruiker zelf toepassen op al geïnstalleerde spellen die vatbaar zijn en waarschijnlijk niet worden geupdate?

Ik heb rond de 1000 games op Steam waarvan ook een groot deel indie titels die al lang geen support meer krijgen en wordt een peetje paranoïde van dit soort berichten, vooral omdat ik verder totaal niet thuis ben in engine versies e.d.
Het lijkt er op dat Valve de Steam client heeft geupdate en niet-gepatchte games blokkeert bij het opstarten.

Even Steam updaten dus en je games via Steam starten.

[Reactie gewijzigd door DLSS op 4 oktober 2025 16:44]

Heb hier een paar games waarvan ik zeker weet dat ze nog niet gepatched zijn, en die starten gewoon hoor.
Wat Valve specifiek gepatcht heeft is dat waar er een poging plaatsvindt om games te lanceren met de exploiteerbare command-line parameters, het lanceren van de game via Steam geblokkeerd wordt.

Dit werkt wss. voor alle games die Steamworks als DRM gebruiken, via Steam gestart of via een andere shortcut, bij gratie van het feit dat deze games checken of ze via Steam gestart waren of niet, en zo niet, zichzelf direct afsluiten en via een steam:// protocol handler zichzelf opnieuw opstarten via de Steam client.

[Reactie gewijzigd door R4gnax op 4 oktober 2025 20:04]

Hangt ervan af of de game op een aangepaste engine draait. In de meeste gevallen kun je zelf wel de patcher draaien, maar ik zou me daar niet zo druk om maken gezien de aard van de kwetsbaarheid.
Ik denk het wel, maar:
  • De patcher zal soms de game stuk maken (bijv bij complexere anti cheat). Daarvoor zijn dan echt aanpassingen van de ontwikkelaar nodig.
  • Ik weet niet of Steam op een gegeven moment detecteert dat je locale wijzigingen hebt op de game. Als je het later opnieuw installeert, bijv op nieuwe PC, moet je dan iig weer opnieuw patchen.
Het voordeel is wel dat de patcher zelf detecteert welke Unity-versie er gebruikt is. Op m'n eigen game was ik binnen 2 minuten klaar.
Naar mijn mening is dit de best mogelijke reactie van Valve. Je wordt wel gewaarschuwd, maar je kunt de games gewoon blijven spelen zolang er geen directe aanwijzing is dat er misbruik van wordt gemaakt. Geen overreactie zoals je vaak ziet waarbij alles gelijk onklaar gemaakt wordt, maar ook het probleem niet negeren. Chapeau!
Bor Coördinator Frontpage Admins / FP Powermod @roelst14 oktober 2025 10:58
De games zijn via de steam client standaard niet op te starten. Valve blokkeert ze wel degelijk. Alleen met een omweg werkt het nog (en dat is misschien wel een kwetsbaarheid op zich):
De Steam-client blokkeert in bepaalde gevallen automatisch games op basis van Unity 2017.1 of nieuwer.
De games zijn wel op te starten via steam, ze worden alleen geblokkeerd als steam detecteerd de snelkoppeling/commamd-line waarmee de game is gestart de exploit bevat.
Dus dat was die kleine update zonder notes, die plots begon te downloaden voor Humankind!
Unity heeft een patcher uitgebracht waardoor je niet een rebuild hoeft te maken, dus dat zou je nog zelf kunnen uitvoeren. Deze vervangt UnityPlayer.dll (Windows), UnityPlayer.dylib (MacOS), libunity.so (Android) met de gefixte variant. Als uitgever moet je dit natuurlijk doen vooral op Android met geldige certificaten etc.

https://security-patches.unity.com/bc0977e0-21a9-4f6e-9414-4f44b242110a/unity-patcher/UnityApplicationPatcher-1.0.6-Win.zip
Volgens mij zijn veel games die onze moeders en oma's spelen gebaseerd op Unity, correct? Point and click, puzzel en andere simpele arcade games.
Valt best mee hoor, Batman, Prince of Persia, Postal, 7Days to Die, Subnautica, Among Us en nog veel meer..
https://store.steampowered.com/curator/39750107-Games-Made-With-Unity/
Vergis je niet. Unity is net zo'n grote naam als Unreal Engine in het middleware landschap. Zo niet nog groter.
Cities Skylines 1 en 2 zijn er ook in gemaakt. Dus nee, het is niet een engine voor 'simpele' games


Om te kunnen reageren moet je ingelogd zijn