「Live2D Cubism Core（SDK）」に脆弱性、修正版にアップデートを

「Live2D Cubism Core（SDK）」の脆弱性

　（株）Live2Dは26日、アニメーション制作ツール「Live2D Cubism Core」シリーズの一部製品に、脆弱性が存在することを発表した。改変されたMOC3ファイルを対象となるCubism Coreに読み込ませることで、メモリの範囲外書き込みが発生しアプリケーションがクラッシュする場合があるという。

　同社はユーザーに対し、出所不明のMOC3ファイルを開かないことや、信頼できる提供元から入手したMOC3ファイルを開くこと、不特定多数のMOC3ファイルを使うアプリケーションを常に最新の状態に保つよう、注意を呼び掛けている。なお、自身で制作したMOC3ファイルや信頼できる提供元のMOC3ファイルは、引き続き利用できる。

　また、同社は、MOC3ファイルの検証ツール「MOC3 Consistency Checker 1.00.01」を公開している。ツールにMOC3ファイルを読み込むことで、ファイルが正しい形式であることや、不正に改変されたものであることを判別可能だ。

　3月14日現在、影響のある製品は以下の通り。なお、「Cubism AE Plugin R8」以外はすでに対策バージョンをリリースしている。

• Live2D Cubism Editor 4.2.03_1
• Live2D Cubism Editor 4.2.04 beta3
• Live2D Cubism 4 SDK for Unity R6_1
• Live2D Cubism 4 SDK for Native R6_1
• Live2D Cubism 4 SDK for Web R6_1
• Live2D Cubism 4 SDK for Java R1 beta3
• Live2D Cubism Viewer for Unity 1.4.7_1
• Live2D Cubism AE Plugin R8

　本件の影響範囲の対象は以下の通り。

Cubism Editor 4.2.00 beta1 以降の一部機能

• 組み込み用モデルトラック

対象となるCubism SDK (3以降)

• Cubism SDK for Unity
• Cubism SDK for Native
• Cubism SDK for Java

対象となるCubism SDKを利用しているアプリケーション

• Cubism Viewer for OW
• Cubism Viewer for Unity
• 拡張性アプリケーション（任意のMOC3ファイルを読み込むことができるアプリケーション。nizima LIVEほか、各種VTuber用トラッキングソフト等）