In der Unity Runtime wurde eine schwerwiegende Sicherheitslücke (CVE-2025-59489) entdeckt, die Angreifern das Ausführen beliebigen Codes in Spielen und Anwendungen ermöglicht, die mit Unity 2017.1 oder neuer erstellt wurden. Betroffen sind vor allem Android-Apps, bei denen sich über manipulierte Intents schädliche Bibliotheken (.so-Dateien) laden und mit App-Berechtigungen ausführen lassen.
Die Lücke, entdeckt vom Sicherheitsforscher RyotaK (GMO Flatt Security), erhielt ein Update im September 2025. Unity hat Patches für Versionen ab 2019.1 veröffentlicht sowie ein Binary-Patch-Tool bereitgestellt. Entwickler sollen ihre Projekte dringend neu kompilieren und veröffentlichen.
Die Schwachstelle erlaubt lokalen Angriffen durch andere Apps auf demselben Gerät, in seltenen Fällen auch entfernte Ausnutzung über Browser-Intents. Unity empfiehlt, betroffene Anwendungen zeitnah zu aktualisieren, um die Gefahr von Code-Injection und Rechteübernahme zu verhindern.
