Unity corrige falha grave de segurança de 2017; Microsoft e Valve reagem

A Unity demonstrou proatividade ao anunciar a descoberta e correção de uma "major security vulnerability" em seu motor de desenvolvimento, um problema que afetava games criados desde 2017. O lado positivo da notícia reside na rapidez e amplitude da resposta da empresa e dos parceiros de plataforma.

A Unity disponibilizou correções para todas as versões afetadas do Unity Editor, começando pela Unity 2019.1, e um patcher binário para aplicativos já compilados que datam de 2017.1. A falha foi responsavelmente reportada pelo pesquisador de segurança RyotaK, a quem a Unity agradeceu pela colaboração.

Larry Hryb, diretor de comunidade e defesa da Unity, confirmou que a empresa agiu antes que houvesse danos reais:

"Não há evidências de qualquer exploração da vulnerabilidade, nem houve qualquer impacto em usuários ou clientes. Nós fornecemos proativamente fixes que corrigem a vulnerabilidade, e eles já estão disponíveis para todos os desenvolvedores."

Apesar da mitigação, o ponto crítico é a seriedade da vulnerabilidade e o longo período em que ela existiu. De acordo com a análise CVE (Common Vulnerabilities and Exposures), a falha permitia que um adversário pudesse "executar código e exfiltrar informações confidenciais" da máquina do usuário. O risco era amplo, afetando games desenvolvidos para os sistemas operacionais Android, Windows, Linux e macOS.

Em resposta à ameaça, grandes plataformas agiram imediatamente: o Microsoft Defender recebeu uma atualização para detectar e bloquear a vulnerabilidade, e a Valve implementou "proteções adicionais para o client Steam". Alguns developers, como a Obsidian, tomaram medidas ainda mais drásticas e removeram alguns de seus games das lojas digitais temporariamente.

A Unity emitiu orientações estritas para a comunidade. O Larry Hryb sugeriu que os developers que lançaram games ou aplicativos usando a Unity 2017.1 ou posterior para Windows, Android ou macOS devem "revisar [as] orientações para garantir a segurança contínua para [seus] usuários."

A Unity recomenda enfaticamente que os developers baixem a atualização corrigida para sua versão do Unity Editor, recompilem e republiquem seus aplicativos. Eles também aconselham aos usuários finais que "mantenham seus dispositivos e aplicativos atualizados, ativem as automatic updates e mantenham o antivirus software atualizado."

A Unity corrigiu uma "major security vulnerability" que datava de 2017 em seu motor, afetando games para Android, Windows, Linux e macOS. A falha, que foi responsavelmente reportada por RyotaK, não resultou em exploração, e parceiros como Microsoft Defender e Valve já emitiram atualizações de segurança. A Obsidian retirou alguns games das lojas digitais para garantir a segurança.