Unity corrige serious security flaw from 2017; Microsoft and Valve react

La Unity demostró proactividad al anunciar el descubrimiento y corrección de una "importante vulnerabilidad de seguridad" en su motor de desarrollo, un problema que afectaba a los juegos creados desde el año 2017. El aspecto positivo de la noticia radica en la rapidez y amplitud de la respuesta de la empresa y los colaboradores de la plataforma.

La Unity proporcionó correcciones para todas las versiones afectadas del Editor de Unity, comenzando por la Unity 2019.1, y un reparador binario para las aplicaciones ya compiladas desde el año 2017.1. La falla fue reportada de manera responsable por el investigador de seguridad RyotaK, a quien la Unity agradeció por la colaboración.

Larry Hryb, director de comunidad y defensor de Unity, confirmó que la empresa actuó antes de que hubiera daños reales:

"No hay evidencia de explotación alguna de la vulnerabilidad, ni ha habido impacto alguno en usuarios o clientes. Proporcionamos de manera proactiva soluciones que corrigen la vulnerabilidad, y ya están disponibles para todos los desarrolladores."

A pesar de la mitigación, el punto crítico es la gravedad de la vulnerabilidad y el largo período en que existió. Según el análisis de CVE (Vulnerabilidades y Exposiciones Comunes), la falla permitía que un adversario pudiera "ejecutar código y extraer información confidencial" de la máquina del usuario. El riesgo era amplio, afectando a los juegos desarrollados para los sistemas operativos Android, Windows, Linux y macOS.

En respuesta a la amenaza, grandes plataformas actuaron de inmediato: el Microsoft Defender recibió una actualización para detectar y bloquear la vulnerabilidad, y Valve implementó "protecciones adicionales para el cliente Steam". Algunos desarrolladores, como Obsidian, tomaron medidas aún más drásticas y eliminaron algunos de sus juegos de las tiendas digitales temporalmente.

La Unity emitió directrices estrictas para la comunidad. Larry Hryb sugirió que los desarrolladores que lanzaron juegos o aplicaciones usando la Unity 2017.1 o posterior para Windows, Android o macOS deben "revisar [las] directrices para garantizar la seguridad continua para [sus] usuarios."

La Unity recomienda enfáticamente que los desarrolladores descarguen la actualización corregida para su versión del Editor de Unity, recompilen y publiquen nuevamente sus aplicaciones. También aconsejan a los usuarios finales que "mantengan sus dispositivos y aplicaciones actualizados, activen las actualizaciones automáticas y mantengan el software antivirus actualizado."

La Unity corrigió una "importante vulnerabilidad de seguridad" que data del año 2017 en su motor, afectando a los juegos para Android, Windows, Linux y macOS. La falla, que fue reportada de manera responsable por RyotaK, no resultó en explotación, y socios como Microsoft Defender y Valve ya han emitido actualizaciones de seguridad. Obsidian retiró algunos juegos de las tiendas digitales para garantizar la seguridad.