Cubism Core脆弱性の対応
最終更新: 2023年4月28日
Live2D Cubism Coreに関する脆弱性についての説明と、その対応について記載します。
該当の脆弱性における危険性、及びそれに伴う脅威については以下をご確認ください。
Live2D Cubism Core脆弱性についてのお知らせ
対応状況
調査報告について(2023/04/28)
2023年3月8日にセキュリティ専門企業であるGMOサイバーセキュリティ byイエラエ株式会社に調査依頼を行って参りました。
同年4月20日付で本脆弱性についての調査報告書を受領し、以下のお知らせに詳細を記載しましたのでご報告させていただきます。
Live2D Cubism Core脆弱性についてのお知らせ
製品アップデートのお知らせ(2023/03/16)
3月14日にお知らせした不具合を修正するための製品アップデートを行いました。
不具合のお知らせ(2023/03/14)
先日公開された各種製品において、以下のMOC3ファイルが正しいフォーマットにも関わらず、読み込めない不具合が発生しております。
・ブレンドシェイプを使用しており、かつ「ブレンドシェイプの重みの制限設定」を行った一部のMOC3ファイル
もし、今回の条件以外でもMOC3ファイルが読み込めない、身に覚えが無いのに検証用ツールで「Corrupted」が表示されてしまったという場合は以下よりお問い合わせください。
検証用ツール
MOC3 Consistency Checker
このツールにMOC3ファイルを読み込むことで、ファイルが正しい形式であることを判別できます。
ファイルが不正に改変されたものであることも判別が可能です。
詳しくは「検証用ツール」をご覧ください。
対策バージョン
Live2D Cubism Coreに関する脆弱性について、影響のある製品と対策したバージョンは下記となります。
| 製品名 | 対策バージョン | リリース日 |
| Cubism Editor Cubism Viewer (for OW) | 4.2.03_2 4.2.04 beta4 | 公開済み(2023/03/16) |
| Cubism SDK for Unity | R6_2 | 公開済み(2023/03/16) |
| Cubism SDK for Native | R6_2 | 公開済み(2023/03/16) |
| Cubism SDK for Java | R1 beta4 | 公開済み(2023/03/16) |
| Cubism Viewer for Unity | 1.4.7_2 | 公開済み(2023/03/16) |
| Cubism AE Plugin | R8 | 公開済み(2023/03/17) |
| Cubism SDK for Web | R6_2 ※1 | 公開済み(2023/03/16) |
| Cubism SDK for Cocos Creator | R1 beta2 ※1 | 公開済み(2023/03/16) |
※1 脆弱性はありませんが、MOC3ファイルが正しいフォーマットか検証するAPIを公開しております。
更新情報
New !
[2023/04/28]:「対応状況」の項目に調査報告を追加しました。
[2023/04/14]:MOC3 Consistency Checker ver.1.00.02が正常にダウンロードできない不具合を修正しました。
[2023/03/17]:対策バージョンに「Live2D Cubism 4 AE Plugin R8」を追加しました。
[2023/03/16]:MOC3 Consistency Checker ver.1.00.02を公開しました。
[2023/03/16]:Live2D Cubism製品と対策バージョンの一覧を更新しました。
[2023/03/14]:「対応状況」の項目を追加しました。
[2023/03/14]:対策バージョンに「Cubism 4 SDK for Cocos Creator R1 beta 1」を追加しました。
[2023/03/10]:Live2D Cubism製品と対策バージョンの一覧を公開しました。
[2023/03/10]:[Mac] MOC3 Consistency Checker ver.1.00.01を公開しました。
[2023/03/10]:[Windows]MOC3 Consistency Checker ver.1.00.01を公開しました。
[2023/03/09]:[Windows]MOC3 Consistency Checker ver.1.00.00を公開しました。