Si vous utilisez Steam, vous avez peut-être remarqué ces derniers jours une avalanche de petites mises à jour pour vos jeux. Ce sont les réponses à une importante faille de sécurité repérée dans le moteur de jeux Unity.
Estampillée CVE-2025-59489, elle réside dans le composant Runtime. Exploitée, elle permet à un acteur malveillant de déclencher le chargement de fichiers arbitraires, y compris locaux, pouvant entrainer l’exécution de commandes arbitraires.
« Les applications qui ont été créées à l’aide des versions affectées de l’éditeur Unity sont susceptibles d’être attaquées par le chargement de fichiers non sécurisés et l’inclusion de fichiers locaux selon le système d’exploitation, ce qui peut permettre l’exécution de code local ou la divulgation d’informations au niveau de privilège de l’application vulnérable. Il n’y a aucune preuve d’exploitation de la vulnérabilité et il n’y a eu aucun impact sur les utilisateurs ou les clients. Unity a fourni des correctifs qui corrigent la vulnérabilité et ils sont déjà disponibles pour tous les développeurs », indique Unity dans son bulletin de sécurité.
La faille a reçu une note de sévérité CVSS de 8,4 sur 10. Sur le bulletin, on peut voir qu’elle a été découverte le 4 juin et que la version corrigée du composant a été envoyée aux éditeurs le 2 octobre. Le bulletin, lui, a été publié le 6 octobre.
La vulnérabilité a été découverte par RyotaK, chercheur en sécurité chez GMO Flat Security. Dans un article, il explique que les conséquences ont initialement été mesurées sur Android, où son exploitation autorise le chargement d’une bibliothèque native malveillante. Cependant, le cœur de la faille – la gestion de l’argument -xrsdk-pre-init-library sans validation ou nettoyage – se retrouve sur les autres plateformes. Ce qui a conduit Steam à réagir, en bloquant les schémas d’URI personnalisés et en recommandant aux développeurs de mettre rapidement à jour les jeux concernés. Microsoft y est allée également de son bulletin, en recommandant notamment de désinstaller les jeux affectés.
Commentaires (3)
Abonnez-vous pour prendre part au débat
Déjà abonné ? Se connecter
Cet article est en accès libre, mais il est le fruit du travail d'une rédaction qui ne travaille que pour ses lecteurs, sur un média sans pub et sans tracker. Soutenez le journalisme tech de qualité en vous abonnant.
Accédez en illimité aux articles
Profitez d’un média expert et unique
Intégrez la communauté et prenez part aux débats
Partagez des articles premium à vos contacts
Abonnez-vousLe 08/10/2025 à 13h45
Merci de vous en être saisis !
Le 08/10/2025 à 14h03
Modifié le 08/10/2025 à 18h31
Signaler un commentaire
Voulez-vous vraiment signaler ce commentaire ?