Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
NewsGefahr im Verzug: Sicherheitslücke bedroht Spiele auf Basis der Unity-Engine
Unity, die Entwickler der Unity-Engine, warnen vor einer Sicherheitslücke der Engine ab Version 2017.1 für Android, Windows, Linux und macOS, die potenziell alle auf dieser Engine entwickelten Spiele und Applikationen betrifft. Entwicklern wird dringend geraten, Patches einzuspielen und die eigenen Apps neu zu kompilieren.
https://flatt.tech/research/posts/arbitrary-code-execution-in-unity-runtime/
"In its default configuration, this vulnerability allowed malicious applications installed on the same device to hijack permissions granted to Unity applications.
In specific cases, the vulnerability could be exploited remotely to execute arbitrary code, although I didn’t investigate third-party Unity applications to find an app with the functionality required to enable this exploit."
Also erstmal wahrscheinlich "nur" ein lokaler Exploit? Und damit eher für z.B. Mobilgeräte relevant als für Desktops?
Bisschen schade, dass man für diese Art von Info immer erst graben muss.
@ComputerJunge so eine Liste zusammenzustellen, dürfte recht viel Zeit in Anspruch nehmen, da es potentiell alle Unity-Spiele der letzten 7-8 Jahre betrifft.
Kannst ja hier von PCGamingWiki die Liste der Unity-Spiele absteigend nach Unity-Version sortieren lassen, wobei auch sehr viele Spiele bei sind, von denen die Unity-Version nicht dran steht bzw. nicht bekannt ist.
Wenn ich den von @GrumpyCat verlinkten Blogpost richtig lese, betrifft das aber wohl nur Unity-Spiele unter Android. Denn dort stellt die Runtime eine Schnittstelle zum Debuggen bereit, die aber potentiell auch von Schadcode aufgerufen und darüber Fremdcode eingeschleust werden kann.
Oder gibt es diese Debug-Schnittstelle auch in Release-Builds von Unity-Spielen auf PC?
Auf Steam gab es bei mir schon etliche Updates mit dem Hinweis: Unity Vulnerability Update News.
Spiele waren unter anderem: Blasphemous, Golf With Your Friends, Hollow Knight und noch ein paar andere.
Da bin ich mal gespannt, ob die betroffenen Spiele tatsächlich eine neue executable bekommen.
Für alles was älter als 3-4 Jahre ist sehe ich schwarz. Da ist das Licht am Ende des Tunnels wahrscheinlich der ankommende Zug.
Subnautica war vorher auf Steam mit nem Update deswegen.
Problematisch ist immer wenn dümmliche early access Programmierer evtl noch eine 2. Schwachstelle in ihrem Game lassen (Stichwort MODDING) und man dann durch dieses EA Spiel jedem Modder den ganzen PC öffnet.
Bestätigt mich mal wieder darin, proprietäre Software nur in einer Sandbox laufen zu lassen - ich bezweifle mal ganz stark, dass wirkliche jedes Unity-Spiel noch ein entsprechendes Update erhalten wird.
Dass Steam und MS da "von aussen" aktiv werden ist zwar löblich und schwächt die Problematik sicher ab, aber ich bin mir nicht sicher, ob auf dem Weg wirklich jedes Spiel erfasst werden kann. Man hat ja schon oft genug von Entwicklern gehört, dass es einen riesen Aufwand bedeuten kann, Unity auf eine neue Version zu bringen.
Hab eh schon fast alles deinstalliert was mit dieser Engine läuft.
Gibt nur Probleme damit. Ich kauf auch nichts mehr was mit UE läuft, gleiches gilt für Unreal 5.
Ich mag das Spiel "Action Henk" kennen wohl sehr wenige und da ist Stand jetzt kein Update für erschienen und ich bezweifle dass da noch eins kommen wird..
@Manegarm Konsequenterweise müsste man dann aber sämtliche Spiele deinstallieren. Nur weil andere Spiele keine der "großen" Engines wie Unity oder Unreal Engine nutzen, sind die ja nicht fehlerfrei. Auch die anderen Spiele nutzen irgendeine (hauseigene) komplexe Engine, die ebenfalls nicht frei von Fehlern ist.
Zugegeben, ich bin nicht im Thema drin. Dennoch nehme ich an, dass auch die Unity-Engine Telemetriedaten sendet. Darüberhinaus zählen die Plattformen die Downloads.
Es genügt beispielsweise eine (grobe) Top 200 Liste zusammen mit Informationen, wie ein Endkunde/Spieler herausfinden kann, ob er betroffen sein könnte. Dann könnten zumindest diejenigen, die das interessiert, das Starten der Kandidatenspiele vorübergehend unterlassen und/oder bei den Studios nach Patches fragen.
Klar, das kostet vermutlich einige bis viel Zeit (und damit Geld), aber das gehört für mich zum mit dem Business verbundenen Verantwortung. Überdramatisieren will ich es aber auch nicht.
