L'environnement d'exécution Unity, utilisé dans de nombreux jeux populaires pour appareils mobiles et de bureau, contient une vulnérabilité décrite par Microsoft comme un "chemin de recherche non fiable". Cette faille, identifiée sous CVE-2025-59489 ou EUVD-2025-32292, permet aux attaquants de manipuler les intentions pour la communication entre composants d'application, potentiellement en chargeant des bibliothèques arbitraires et en exécutant du code malveillant. Selon le découvreur connu sous le nom de RyotaK, des applications malveillantes sur le même appareil peuvent exploiter cela pour obtenir des droits élevés, et dans certains cas, elle peut être déclenchée à distance via Internet.

Les plateformes affectées incluent Android, Linux, macOS et Windows pour les applications créées avec Unity Gaming Engine Editor version 2017.1 ou ultérieure. Les utilisateurs de Hololens, iOS, Xbox cloud gaming et consoles Xbox ne sont pas impactés. Microsoft liste plusieurs de ses propres titres comme vulnérables, incluant Hearthstone, The Elder Scrolls: Blades, DOOM (2019), Wasteland 3, Fallout Shelter et Applications PC Microsoft Mesh, parmi d'autres comme Pillars of Eternity et Warcraft Rumble.

Un code d'exploitation est déjà disponible, incitant à une action urgente. Microsoft conseille de désinstaller immédiatement les logiciels vulnérables et de vérifier les mises à jour régulièrement. Une mise à jour pour Microsoft Mesh PC (version 5.2513.3.0 ou ultérieure) est disponible via mise à jour automatique. Unity développe des correctifs mais n'a pas annoncé de date de sortie. Les développeurs sont exhortés à installer le logiciel Unity corrigé et à déployer des mises à jour pour leurs applications dès que possible.

Ce problème fait suite à la récente vulnérabilité critique Entra ID de Microsoft, soulignant les défis de sécurité persistants dans les écosystèmes de jeux et de logiciels d'entreprise.