Nền tảng Unity, công cụ phát triển game phổ biến đứng sau nhiều tựa game nổi tiếng như Cuphead, Hollow Knighthay Genshin Impact, vừa phát hành bản vá cho một lỗ hổng bảo mật nghiêm trọng tồn tại suốt 8 năm qua. Lỗi này đã ảnh hưởng đến hàng nghìn trò chơi được phát triển bằng Unity, gây ra lo ngại lớn trong cộng đồng lập trình và bảo mật.
Lỗ hổng bảo mật nghiêm trọng tồn tại từ năm 2017
Theo công ty an ninh mạng RyotaK, lỗ hổng được phát hiện trong các phiên bản Unity từ 2017.1 trở đi, tức là đã tồn tại ít nhất 8 năm trước khi được khắc phục. Unity xác nhận rằng lỗ hổng này liên quan đến việc xử lý tập tin không an toàn và tấn công chèn tập tin (file inclusion attacks), có thể khiến ứng dụng bị khai thác để thực thi mã độc hoặc truy cập dữ liệu nhạy cảm.
Lỗ hổng được gán mã định danh CVE-2025-59489 với mức độ nghiêm trọng 8.4/10 theo thang điểm CVSS. Trên hầu hết các hệ điều hành, kẻ tấn công có thể lợi dụng để leo thang đặc quyền, trong khi các ứng dụng Android có nguy cơ bị chèn mã độc từ xa.
Dù vậy, Unity cho biết quyền truy cập của kẻ tấn công sẽ bị giới hạn trong phạm vi quyền của ứng dụng bị ảnh hưởng, và chưa có bằng chứng nào cho thấy lỗ hổng đã bị khai thác thực tế. Công ty cho biết họ đã được cảnh báo từ vài tháng trước và nhanh chóng bắt tay khắc phục.
Giải pháp tạm thời và hướng dẫn vá lỗi cho nhà phát triển
Unity đã phát hành bản vá và công cụ sửa lỗi chuyên dụng, cho phép các nhà phát triển cập nhật các tựa game đang hoạt động. Tuy nhiên, việc khắc phục triệt để tất cả các tựa game bị ảnh hưởng là điều khó khả thi, bởi nhiều trò chơi đã ngừng phát triển hoặc không còn được hỗ trợ kỹ thuật.
Theo Unity, lỗi này nằm trong runtime engine – phần lõi vận hành trò chơi. Do đó, bản vá yêu cầu kết nối Internet và chỉ hỗ trợ các bản build trên Windows và macOS. Người dùng cuối (game thủ) không thể tự vá lỗi này, mà chỉ có nhà phát triển hoặc studio mới có quyền sử dụng công cụ vá.
Unity cũng cảnh báo rằng việc áp dụng bản vá có thể khiến một số trò chơi gặp lỗi hoặc không hoạt động, đặc biệt là những trò chơi có cơ chế chống gian lận (anti-cheat) hoặc chống can thiệp mã (anti-tampering). Do đó, hãng khuyến nghị các nhà phát triển nên thử nghiệm kỹ lưỡng trước khi tung bản cập nhật cho người chơi.
Hiện tại, các phiên bản Unity mới nhất đã được khắc phục hoàn toàn, giúp đảm bảo an toàn cho các dự án game sắp ra mắt. Tuy nhiên, với những tựa game cũ, việc cập nhật engine và phát hành lại bản build mới sẽ là thách thức lớn cho nhiều nhà phát triển độc lập.
Động thái này cho thấy Unity đang nỗ lực lấy lại niềm tin từ cộng đồng sau nhiều tranh cãi liên quan đến bảo mật và chính sách thu phí. Đây cũng là lời nhắc nhở rằng ngay cả những công cụ phổ biến nhất trong ngành game cũng có thể tiềm ẩn rủi ro nếu không được cập nhật thường xuyên.