关于Cubism Core的漏洞处理

最終更新: 2023年5月26日

此页面适用于Cubism 4.2及更早版本的旧版本。 点击此处查看最新页面

以下是关于近日发现的Live2D Cubism Core漏洞的情况,以及相关的处理措施的说明。

请确认以下有关该漏洞的危险性和可能带来的影响。

关于Live2D Cubism Core漏洞的重要通知

应对状况

调查报告(2023/04/28)

我们于2023年3月8日向专注信息安全领域的公司 GMO Cyber Security by IERAE 发起了调查请求。

于同年4月20日,我们收到了关于此脆弱性的调查报告书,并在下面的公告中详细记录了相关信息,特此报告。

有关Live2D Cubism Core脆弱性的通知

产品更新通知(2023/03/16)

为了修复3月14日发布的产品问题(融合变形的设置可能会导致部分MOC3文件无法读取),
我们对产品进行了版本更新。

产品问题通知(2023/03/14)

关于近日发布了修复版本的产品,可能会出现即使MOC3文件格式正确但无法正常读取的问题。

・主要对象:使用了融合变形,并设置了“融合变形重量限制”的某些MOC3文件

如果您的MOC3文件除了本次提到的情况外,在其他情况下也无法读取,或者您的MOC3文件以前未遇到过这个问题,但在验证工具中却显示为“Corrupted”状态,请使用以下表单联系我们。

联系我们

验证工具

MOC3 Consistency Checker

通过将MOC3文件加载到该验证工具中,可以验证文件的形式是否正确,也可以检验MOC3文件是否被恶意篡改。

请参阅「验证工具」页面以获取详细信息。

修复后的产品版本

关于Live2D Cubism Core的相关漏洞,受影响的产品和已经解决的版本如下。

产品名称

修复后的版本

发布日期

Cubism Editor
Cubism Viewer (for OW)

4.2.03_2
4.2.04 beta4

已发布(2023/03/16)

Cubism SDK for Unity

R6_2已发布(2023/03/16)

Cubism SDK for Native

R6_2已发布(2023/03/16)

Cubism SDK for Java

R1 beta4已发布(2023/03/16)

Cubism Viewer for Unity

1.4.7_2已发布(2023/03/16)

Cubism AE Plugin

R8已发布(2023/03/17)

Cubism SDK for Web

R6_2  ※1已发布(2023/03/16)
Cubism SDK for Cocos CreatorR1 beta2  ※1已发布(2023/03/16)

*1 没有漏洞,但有一个API可以验证MOC3文件的格式是否正确。

更新信息

New!

[2023/05/26]:新增了「应对状况」的项目中调查报告。

 

[2023/04/14]:修复了 MOC3 Consistency Checker ver.1.00.02 无法正常下载的问题。

[2023/03/17]:已修复产品中新增了「Cubism 4 AE Plugin R8」。

[2023/03/16]:MOC3 Consistency Checker ver.1.00.02 发布了。

[2023/03/16]:Live2D Cubism产品列表和修复后的版本一览更新了。

[2023/03/14]:新增了「应对状况」的项目。

[2023/03/14]:已修复产品中新增了「Cubism 4 SDK for Cocos Creator R1 beta 1」。

[2023/03/10]:已发布 Live2D Cubism 产品和对应的修复版本的列表。

[2023/03/10]:[Mac] MOC3 Consistency Checker ver.1.00.01 发布了。

[2023/03/10]:[Windows]MOC3 Consistency Checker ver.1.00.01 发布了。

[2023/03/09]:[Windows]MOC3 Consistency Checker ver.1.00.00 发布了。

请问这篇文章对您有帮助吗?
关于本报道,敬请提出您的意见及要求。