أعلنت شركة Unity Technologies، المطوّرة لأحد أشهر محركات الألعاب في العالم، عن اكتشاف ثغرة أمنية خطرة في وقت التشغيل (Runtime) للمحرك تُعرف بالرمز CVE-2025-59489، وحذّرت من أن استغلالها قد يُمكّن المهاجمين من السيطرة على التطبيقات المبنية على المحرك أو الوصول إلى معلومات حسّاسة على الأجهزة التي تشغّلها.

وصنّفت الشركة درجة خطورة الثغرة بأنها عالية (High Severity)، داعية جميع المطورين والناشرين الذين يستخدمون محرك Unity إلى تطبيق التحديثات الأمنية فوراً أو استبدال الملف الثنائي (Binary) المعرض للخطر لتجنّب أي محاولة استغلال.

وأوضحت Unity أن تفاصيل الثغرة تشير إلى أن الخلل ناتج عن سوء معالجة معطيات سطر الأوامر (Command-line Arguments) أو المسارات غير الموثوقة لتحميل الملفات (Untrusted Search Path)، مما يتيح للمهاجم تحميل مكتبات خارجية من مواقع غير مقصودة وتنفيذ تعليمات برمجية ضارة بصلاحيات التطبيق المتأثر.

ووفقاً لتقرير نشره موقع "TechRadar" واطلعت عليه "العربية Business"، فإن الثغرة تؤثر على إصدارات تنفيذ Unity على أنظمة ويندوز (Windows) وأندرويد (Android) وماك أو إس (macOS) ولينكس (Linux)، وذلك في الإصدارات السابقة لتصحيح صدر بتاريخ 2 أكتوبر 2025.

تحركات عاجلة من شركات ومنصات كبرى لاحتواء الثغرة

اتخذت عدة شركات ومنصات ألعاب حول العالم إجراءات وقائية عاجلة للحد من مخاطر الثغرة.
فقد أعلنت منصة Steam عن تحديثات لعميل المنصة، أضافت من خلالها تدابير تخفيف (Mitigations) تمنع محاولات استغلال الثغرة أثناء تشغيل الألعاب. كما شجّعت الناشرين والمطورين على إعادة بناء ألعابهم باستخدام الإصدارات المحدثة من Unity أو توزيع نسخة مُعالجة من ملف UnityPlayer.dll على المستخدمين.

من جانبها، أصدرت شركات أخرى من بينها مايكروسوفت (Microsoft) توصيات أمنية مؤقتة تضمنت في بعض الحالات مطالبة المستخدمين بإلغاء تثبيت الألعاب المبنية على الإصدارات المتأثرة إلى حين توفر التحديث الأمني الشامل من Unity.

تفاصيل فنية حول آلية الاستغلال

كشفت تقارير فنية متخصصة أن استغلال الثغرة قد يتم عبر تطبيق خبيث مثبت على نفس الجهاز، يمكنه إرسال أوامر (Intent) مصمّمة خصيصاً إلى تطبيق Unity، مما يتيح له التحكم في وسائط التشغيل وإجبار التطبيق على تحميل مكتبات ضارة.

وأكد باحثون أمنيون أنهم اختبروا عملياً هذا السيناريو في بيئات نظام أندرويد، حيث تبيّن أن معالج النوايا (Intent Handler) في بعض تطبيقات Unity يمكن استغلاله لتجاوز القيود الأمنية، ما يزيد من خطورة الثغرة في البيئات المتعددة الأنظمة.

وبناءً على ذلك، أكدت التقارير أن إجراءات التخفيف (Mitigation) وإعادة بناء الإصدارات المتأثرة باتت أمراً عاجلاً وضرورياً لحماية المستخدمين النهائيين من أي استغلال محتمل.

توصيات Unity للمطورين والمستخدمين

دعت شركة Unity Technologies جميع مطوري الألعاب والتطبيقات إلى اتباع الإجراءات التالية بشكل فوري:

مراجعة صفحة التنبيه الأمني الرسمية الخاصة بالثغرة واستخدام أداة التصحيح (Patch Tool) التي أصدرتها الشركة.

إعادة بناء الإصدارات المنشورة باستخدام المحرّر المحدّث (Updated Editor) أو توزيع نسخة مصححة من ملف UnityPlayer.dll ضمن اللعبة أو التطبيق.

تنبيه المستخدمين عبر القنوات الرسمية وإصدار تحديثات طارئة على متاجر التطبيقات ومنصات التوزيع الرقمية.

كما يُنصح اللاعبون والمستخدمون النهائيون بمتابعة تحديثات Steam ومتاجر التطبيقات الرسمية وتطبيقها فور توفرها لضمان حماية أجهزتهم.

أهمية التحديث العاجل

وتؤكد Unity أن تطبيق التصحيح الأمني الصادر في 2 أكتوبر 2025 يُعد الخطوة الأساسية لمنع تنفيذ التعليمات البرمجية عن بُعد (Remote Code Execution) أو الوصول غير المصرح به للبيانات الحساسة، خاصة في الألعاب والتطبيقات التي تستخدم ملفات تشغيل مشتركة على أكثر من نظام تشغيل.

كما حذّرت الشركة من أن تأجيل تثبيت التحديثات قد يُعرّض المستخدمين والمطورين على حد سواء لخطر اختراق الأنظمة أو تسريب البيانات، مشددة على أهمية الالتزام الكامل بالإرشادات الأمنية المعلنة عبر موقعها الرسمي.