O mundo dos videojogos enfrenta uma situação delicada depois de ter sido descoberta uma vulnerabilidade de segurança no motor gráfico Unity que afeta potencialmente todos os jogos desenvolvidos com esta tecnologia desde 2017. A revelação levou programadores de todo o mundo a uma corrida para atualizar os seus títulos, com alguns estúdios a optarem por medidas mais drásticas.
Na sexta-feira, a Unity emitiu um comunicado a apelar aos programadores para que tomassem “ação imediata” face à falha de segurança. A empresa garantiu, no entanto, que não existem evidências de que a vulnerabilidade tenha sido explorada, nem de que tenha havido qualquer impacto em utilizadores ou clientes até ao momento.
A gravidade da situação é evidenciada pela pontuação atribuída no Common Vulnerability Scoring System (CVSS): 7.4 numa escala de 10, o que a classifica como de alta severidade. De acordo com a análise CVE da vulnerabilidade, alguém com o conhecimento adequado pode potencialmente executar código malicioso e extrair informação confidencial de máquinas onde corram aplicações desenvolvidas com versões afetadas do Unity Editor.
Sobre esta falha de segurança podemos ler no website da Unity:
As aplicações criadas com versões afetadas do Unity Editor são suscetíveis a ataques de carregamento inseguro de ficheiros e inclusão local de ficheiros, dependendo do sistema operativo, o que pode permitir a execução local de código ou a divulgação de informações ao nível de privilégio da aplicação vulnerável. Não há evidências de exploração da vulnerabilidade, nem houve qualquer impacto nos utilizadores ou clientes. A Unity forneceu correções que abordam a vulnerabilidade e já estão disponíveis para todos os programadores.
A resposta da indústria tem sido rápida. Títulos populares como Marvel Snap e Among Us já lançaram patches corretivos. A Microsoft atualizou o Windows Defender para detetar e bloquear tentativas de exploração da falha, enquanto a Valve prometeu implementar proteções adicionais através do cliente Steam.
A Unity disponibilizou correções para todos os programadores, afirmando que os patches já se encontram acessíveis. A empresa sublinhou ainda que os seus parceiros também implementaram as suas próprias soluções para mitigar o problema.
Mas nem todos os estúdios optaram pela solução mais rápida. A Obsidian Entertainment tomou uma decisão mais radical ao retirar temporariamente quatro jogos das lojas digitais enquanto implementa as atualizações necessárias. Entre os títulos removidos encontram-se Grounded 2, Avowed e Pentiment, demonstrando que alguns programadores preferem garantir a segurança total antes de voltar a disponibilizar os seus produtos.
A descoberta desta vulnerabilidade levanta questões sobre a segurança de milhares de jogos desenvolvidos ao longo dos últimos oito anos com o Unity, um dos motores gráficos mais populares da indústria. Desde títulos indie até produções de grande orçamento, a lista de jogos potencialmente afetados é extensa.
