关于Cubism Core的漏洞处理

最終更新: 2023年8月17日

本文说明了Live2D Cubism Core相关的漏洞并记载了其处理方法。
请确认以下相关漏洞的危险性以及相关威胁。

Live2D Cubism Core的脆弱性通知

兼容情况

关于调查报告(2023/04/28)

2023年3月8日,我们委托安全专业公司 GMO Cybersecurity by Ierae, Inc.进行调查。
我们于同年4月20日收到了有关此漏洞的调查报告,并在下述通知中记载了详细信息。

Live2D Cubism Core的脆弱性通知

产品更新通知(2023/03/16)

我们已进行了产品更新,以修复3月14日发布的问题。

问题通知(2023/03/14)

在最近发布的各种产品中,存在以下MOC3文件即使格式正确也无法读取的问题。

·部分使用融合变形并设置了“融合变形的权重限制设置”的MOC3文件

如果您在上述以外的条件下无法读取MOC3文件,或者在不知情的情况下验证工具显示“Corrupted”时,请通过以下链接与我们联系。

咨询

验证工具

MOC3 Consistency Checker

通过将MOC3文件导入此工具中,您可以确定该文件的格式是否正确。
还可以判断文件是否被非法修改。
有关详细信息,请参考“验证工具”。

对策版本

关于Live2D Cubism Core的相关漏洞,受影响的产品及对策版本如下。

产品名称对策启动版本(此后继续支持)
Cubism Editor
Cubism Viewer(for OW)
4.2.03_2
4.2.04 beta4
Cubism SDK for UnityR6_2
Cubism SDK for NativeR6_2
Cubism SDK for JavaR1 beta4
Cubism Viewer for Unity1.4.7_2
Cubism AE PluginR8
Cubism SDK for WebR6_2 *1
Cubism SDK for Cocos Creator R1 beta2 *1

*1 虽然不存在漏洞,但我们发布了API来验证MOC3文件的格式是否正确。

更新信息

New !

[2023/08/17]:MOC3 Consistency Checker ver.1.00.03已发布。

 

[2023/04/28]:在“兼容情况”项目中追加了调查报告。

[2023/04/14]:修复了MOC3 Consistency Checker ver.1.00.02无法正确下载的问题。

[2023/03/17]:在对策版本中追加了“Live2D Cubism 4 AE Plugin R8”。

[2023/03/16]:MOC3 Consistency Checker ver.1.00.02已发布。

[2023/03/16]:更新了Live2D Cubism产品和对策版本列表。

[2023/03/14]:追加了“兼容情况”项目。

[2023/03/14]:在对策版本中追加了“Cubism 4 SDK for Cocos Creator R1 beta 1”。

[2023/03/10]:Live2D Cubism产品及对策版本列表已发布。

[2023/03/10]:[Mac] MOC3 Consistency Checker ver.1.00.01 已发布。

[2023/03/10]:[Windows] MOC3 Consistency Checker ver.1.00.01已发布。

[2023/03/09]:[Windows] MOC3 Consistency Checker ver.1.00.00已发布。

请问这篇文章对您有帮助吗?
关于本报道,敬请提出您的意见及要求。