关于Cubism Core的漏洞处理
最終更新: 2023年5月26日
以下是关于近日发现的Live2D Cubism Core漏洞的情况,以及相关的处理措施的说明。
请确认以下有关该漏洞的危险性和可能带来的影响。
应对状况
调查报告(2023/04/28)
我们于2023年3月8日向专注信息安全领域的公司 GMO Cyber Security by IERAE 发起了调查请求。
于同年4月20日,我们收到了关于此脆弱性的调查报告书,并在下面的公告中详细记录了相关信息,特此报告。
产品更新通知(2023/03/16)
为了修复3月14日发布的产品问题(融合变形的设置可能会导致部分MOC3文件无法读取),
我们对产品进行了版本更新。
产品问题通知(2023/03/14)
关于近日发布了修复版本的产品,可能会出现即使MOC3文件格式正确但无法正常读取的问题。
・主要对象:使用了融合变形,并设置了“融合变形重量限制”的某些MOC3文件
如果您的MOC3文件除了本次提到的情况外,在其他情况下也无法读取,或者您的MOC3文件以前未遇到过这个问题,但在验证工具中却显示为“Corrupted”状态,请使用以下表单联系我们。
验证工具
MOC3 Consistency Checker
通过将MOC3文件加载到该验证工具中,可以验证文件的形式是否正确,也可以检验MOC3文件是否被恶意篡改。
请参阅「验证工具」页面以获取详细信息。
修复后的产品版本
关于Live2D Cubism Core的相关漏洞,受影响的产品和已经解决的版本如下。
产品名称 | 修复后的版本 | 发布日期 |
4.2.03_2 | 已发布(2023/03/16) | |
| R6_2 | 已发布(2023/03/16) | |
| R6_2 | 已发布(2023/03/16) | |
| R1 beta4 | 已发布(2023/03/16) | |
| 1.4.7_2 | 已发布(2023/03/16) | |
| R8 | 已发布(2023/03/17) | |
| R6_2 ※1 | 已发布(2023/03/16) | |
| Cubism SDK for Cocos Creator | R1 beta2 ※1 | 已发布(2023/03/16) |
*1 没有漏洞,但有一个API可以验证MOC3文件的格式是否正确。
更新信息
New!
[2023/05/26]:新增了「应对状况」的项目中调查报告。
[2023/04/14]:修复了 MOC3 Consistency Checker ver.1.00.02 无法正常下载的问题。
[2023/03/17]:已修复产品中新增了「Cubism 4 AE Plugin R8」。
[2023/03/16]:MOC3 Consistency Checker ver.1.00.02 发布了。
[2023/03/16]:Live2D Cubism产品列表和修复后的版本一览更新了。
[2023/03/14]:新增了「应对状况」的项目。
[2023/03/14]:已修复产品中新增了「Cubism 4 SDK for Cocos Creator R1 beta 1」。
[2023/03/10]:已发布 Live2D Cubism 产品和对应的修复版本的列表。
[2023/03/10]:[Mac] MOC3 Consistency Checker ver.1.00.01 发布了。
[2023/03/10]:[Windows]MOC3 Consistency Checker ver.1.00.01 发布了。
[2023/03/09]:[Windows]MOC3 Consistency Checker ver.1.00.00 发布了。