Unity

Source : GMO Flatt Security Research – flatt.tech (publication du 3 octobre 2025). Contexte : un chercheur (RyotaK) détaille CVE-2025-59489, une vulnérabilité du Unity Runtime affectant les jeux/apps Unity (2017.1 et +), signalée à Unity qui a publié des correctifs (2019.1 et +) et un outil de patch binaire. • La vulnérabilité repose sur la gestion des intents Android par Unity : l’extra « unity » est interprété comme des arguments de ligne de commande pour l’application. Un argument spécifique, -xrsdk-pre-init-library, est transmis à dlopen(), permettant de charger une bibliothèque native arbitraire et d’exécuter du code dans le contexte de l’app Unity, avec ses permissions. • Impact : exécution de code arbitraire et détournement de permissions des apps Unity. Unity a publié un avis officiel et des mises à jour (2019.1 et +) ainsi qu’un Unity Binary Patch tool pour atténuer le risque. Avis Unity : https://unity.com/security/sept-2025-01 ...

En mai 2025, l’ingénieur sécurité RyotaK de GMO Flatt Security a découvert une vulnérabilité critique (CVE-2025-59489) dans le moteur Unity affectant tous les jeux et applications produits depuis la version 2017.1[web:135][web:137][web:139]. Cette faille permet à une application malveillante sur le même appareil d’exploiter la gestion des intents sous Android pour injecter des arguments dans Unity Runtime. Un attaquant peut ainsi charger une bibliothèque partagée (.so) arbitraire et exécuter du code malveillant avec les droits de l’application Unity, impactant potentiellement l’intégrité et la confidentialité des données utilisateur. ...