News Gefahr im Verzug: Sicherheitslücke bedroht Spiele auf Basis der Unity-Engine

[JohnMcLane87]

Na die Nachricht baut ja auf, dachte ich könnte meine Unity Games unter Linux einfach patchen und gut ist....

Was ist bei Linux der much lower risk?

Edit:
Es wird auf Basis der folgenden Erklärung wohl auch keinen Patcher für Linux (vorerst) geben:

 

[Camarillo]

Von Unity gibt es ein Tool zum patchen der Sicherheitslücke

https://discussions.unity.com/t/cve-2025-59489-patcher-tool/1688032

How do I patch Unity?

https://discussions.unity.com/t/how-do-i-patch-unity/1688232

 

[w1ldr3dx]

Hab eh schon fast alles deinstalliert was mit dieser Engine läuft.
Gibt nur Probleme damit. Ich kauf auch nichts mehr was mit UE läuft, gleiches gilt für Unreal 5.

Tja, dann spielt Du wohl einfach generell keine Computerspiele, weil viel übrig bleibt da nicht.

 

[dh9]

Hiermit sollte man die Versionen auflisten koennen unter Windows (ungetestet):

$files = @("UnityPlayer.dll", "UnityEngine.dll")
$drive = if ($args[0]) { $args[0] } else { (Get-Location).Drive.Root }

Write-Host "Durchsuche $drive nach Unity-Dateien..." -ForegroundColor Cyan

foreach ($fileName in $files) {
    Write-Host "`nSuche nach: $fileName" -ForegroundColor Yellow
    
    Get-ChildItem -Path $drive -Filter $fileName -Recurse -ErrorAction SilentlyContinue -Force | ForEach-Object {
        Write-Host "Pfad: $($_.FullName)" -ForegroundColor Green
        
        if ($fileName -eq "UnityPlayer.dll") {
            Write-Host "File Version: $($_.VersionInfo.FileVersion)" -ForegroundColor White
            Write-Host "Product Version: $($_.VersionInfo.ProductVersion)" -ForegroundColor White
        } elseif ($fileName -eq "UnityEngine.dll") {
            $content = [System.IO.File]::ReadAllBytes($_.FullName)
            $text = [System.Text.Encoding]::ASCII.GetString($content)
            if ($text -match '\d+\.\d+\.\d+') {
                Write-Host "Version: $($matches[0])" -ForegroundColor White
            } else {
                Write-Host "Version: Nicht erkennbar" -ForegroundColor Gray
            }
        }
    }
}

Write-Host "`nSuche abgeschlossen." -ForegroundColor Cyan

Und unter Linux (getestet, exiftool notwendig):

#!/bin/bash

files=("UnityPlayer.dll" "UnityEngine.dll")
searchPath="${1:-/}"

echo -e "\033[36mDurchsuche $searchPath nach Unity-Dateien...\033[0m"

for fileName in "${files[@]}"; do
    echo -e "\n\033[33mSuche nach: $fileName\033[0m"
    
    find "$searchPath" -name "$fileName" -type f 2>/dev/null | while read -r file; do
        echo -e "\033[32mPfad: $file\033[0m"
        
        if [[ "$fileName" == "UnityPlayer.dll" ]]; then
            # Extrahiere Versionsinformationen aus UnityPlayer.dll mit exiftool
            if command -v exiftool &> /dev/null; then
                fileVersion=$(exiftool "$file" 2>/dev/null | grep "File Version Number" | awk -F': ' '{print $2}')
                productVersion=$(exiftool "$file" 2>/dev/null | grep "Product Version Number" | awk -F': ' '{print $2}')
                
                echo -e "\033[37mFile Version: ${fileVersion:-Nicht erkennbar}\033[0m"
                echo -e "\033[37mProduct Version: ${productVersion:-Nicht erkennbar}\033[0m"
            else
                echo -e "\033[90mexiftool nicht installiert - kann DLL-Versionen nicht auslesen\033[0m"
            fi
        elif [[ "$fileName" == "UnityEngine.dll" ]]; then
            # Alte Methode für UnityEngine.dll
            version=$(strings "$file" 2>/dev/null | grep -E '[0-9]+\.[0-9]+\.[0-9]+' | head -n 1)
            echo -e "\033[37mVersion: ${version:-Nicht erkennbar}\033[0m"
        fi
    done
done

echo -e "\n\033[36mSuche abgeschlossen.\033[0m"

 

[Muntermacher]

Ne Laienfrage:
Linux ist ja auch betroffen. Ist es nicht ein Unterschied, ob ein native Linuxspiel oder ein wine/Proton Spiel betroffen ist?

 

[Alexander2]

Datenzugriff haben beide.

 

[Oli_P]

Unity-Engine? Waren nicht die Spiele von Mimimi Games damit erstellt (Desperados 3 z.B.)?

 

[Schmarall]

Da steht dich klar „with local access“. Also nicht relevant für 99% der User.

Quatsch. Alles was es braucht ist ein Mod, das du installierst und in dem dann derjenige bösen Code untergemischt hat. Und das macht man bei Spielen eben häufig.

Man möge mir erklären wie ein Offline Spiel, das die Engine nutzt, von diesem Problem betroffen sein kann bzw. was denn wie passieren muss damit irgendwas "Schlimmes" passieren kann? Und selbst wenn es ein Online Spiel ist, was muss dann dort wie passieren?

Siehe oben. Du installierst ein Mod für ein Spiel, in dem der böse Code drinsteckt und schwupps kann er diesen beliebigen Code auf deinem Computer ausführen.

na das ist ja mal ne tolle sache ^^
mal sehen wie schnell die Entwickler sind...
...

Wie bekommt man diese Liste für seinen Computer?

 

[Camarillo]

Der Patcher macht was er soll und benötigt nur ein paar Sekunden pro Spiel. Also Panikmodus OFF.

 

[BrollyLSSJ]

Vielen Dank für die News. Mal gucken, ob Genshin Impact betroffen ist.

Windows (ungetestet)

Danke für das Skript. Ich lasse es mal laufen. Es sollte ja Genshin Impact erkennen. Auf C: hat es schon mal die Microsoft Windows Photos App erkannt. Der Scan läuft aber noch.



Oder scannt das Skript so nur Laufwerk C:? Meine Programme sind auf D: und meine Spiele auf E:. Kannst du das Skript entsprechend anpassen, dass man da sonst die zu scannenden Partitionen angeben kann?

Edit sagt: Manuell "d:" bei "$drive = d:" angeben durchsucht mein Laufwerk d:. Da hat er auch was gefunden.



Und auf mein Spielelaufwerk scheint nur Red Chaos (Early Access) gefunden zu werden. Ich weiß aber, dass Genshin Impact auch auf die Unity Engine setzt (oder zumindest gesetzt hat).

 

[mibbio]

Der Patcher macht was er soll und benötigt nur ein paar Sekunden pro Spiel. Also Panikmodus OFF.

Hilft aber nur bei installierten Spielen, die kein Anti-Tamper (bspw. Denuvo) oder Anti-Cheat verwenden. Bei solchen Spielen muss man dann auf ein offizielles Update seitens der Entwickler warten, da das lokale Patchen von den Schutzmaßnahmen potentiell als unerlaubte Modifikation der Spieldateien erkennt werden könnte.

 

[Mezzy]

Eine Liste der konkreten Spiele fände ich als möglicherweise betroffener Kunde nun ganz praktisch.

Ich weiß nicht ob dir dies hilft, aber ich habe etwas bei Steam gesehen.
https://store.steampowered.com/curator/39750107-Games-Made-With-Unity/

 

[Amiga500]

Quatsch. Alles was es braucht ist ein Mod, das du installierst und in dem dann derjenige bösen Code untergemischt hat. Und das macht man bei Spielen eben häufig.


Siehe oben. Du installierst ein Mod für ein Spiel, in dem der böse Code drinsteckt und schwupps kann er diesen beliebigen Code auf deinem Computer ausführen.


Wie bekommt man diese Liste für seinen Computer?

Du meinst jetzt Mods nur für dieses Spiel oder allgemein ?

Wenn ich keine Mods für Spiele installiere bzw nutze?

 

[Unti]

Hab eh schon fast alles deinstalliert was mit dieser Engine läuft.
Gibt nur Probleme damit. Ich kauf auch nichts mehr was mit UE läuft, gleiches gilt für Unreal 5.

Also hast du quasi aufgehört zu spielen?
Schau dir mal die letzten AA + AAA Releases an, das war fast nur UE.

 

[Amiga500]

Mich nervt das so ab..ich wollte mal wieder Oddworld Soulstorm zocken welches die Unity nutzt. Woher weiß ich das es dafür ein Patch kommt ? Wie kann ich das jetzt sicher zocken? Habe es bei Epic gekauft...ich bin da echt total verwirrt gerad mit dem ganzen

 

[Pisaro]

Also wie immer: Ich muss nichts machen, einfach weiterspielen. Passiert eh wieder nichts

 

[mibbio]

Ich weiß nicht ob dir dies hilft, aber ich habe etwas bei Steam gesehen.
https://store.steampowered.com/curator/39750107-Games-Made-With-Unity/

Die "Liste" wurde hier im Thread schon erwähnt, aber die deckt mit lediglich 199 Einträgen nur einen winzigen Bruchteil aller Unity-Spiele (mehrere Tausend) ab. Da ist die von mir in Beitrag #4 verlinkte Liste von PCGamingWiki deutlich umfangreicher und hilfreicher.

 

[Kuristina]

Ich muss nichts machen, einfach weiterspielen. Passiert eh wieder nichts

Hab ich mir auch gedacht. Ich werf gleich mein Farmspiel an. Wird schon nix explodieren.

 

[noway]

Unity-Engine? Waren nicht die Spiele von Mimimi Games damit erstellt (Desperados 3 z.B.)?

Ja.

 

[Salamimander]

Oder Skylines 2, Brotato, usw usw … Die meisten Indiperlen sind unity