ニュース
「Live2D Cubism Core(SDK)」に脆弱性、修正版にアップデートを
2023年3月14日 16:53
(株)Live2Dは26日、アニメーション制作ツール「Live2D Cubism Core」シリーズの一部製品に、脆弱性が存在することを発表した。改変されたMOC3ファイルを対象となるCubism Coreに読み込ませることで、メモリの範囲外書き込みが発生しアプリケーションがクラッシュする場合があるという。
同社はユーザーに対し、出所不明のMOC3ファイルを開かないことや、信頼できる提供元から入手したMOC3ファイルを開くこと、不特定多数のMOC3ファイルを使うアプリケーションを常に最新の状態に保つよう、注意を呼び掛けている。なお、自身で制作したMOC3ファイルや信頼できる提供元のMOC3ファイルは、引き続き利用できる。
また、同社は、MOC3ファイルの検証ツール「MOC3 Consistency Checker 1.00.01」を公開している。ツールにMOC3ファイルを読み込むことで、ファイルが正しい形式であることや、不正に改変されたものであることを判別可能だ。
3月14日現在、影響のある製品は以下の通り。なお、「Cubism AE Plugin R8」以外はすでに対策バージョンをリリースしている。
- Live2D Cubism Editor 4.2.03_1
- Live2D Cubism Editor 4.2.04 beta3
- Live2D Cubism 4 SDK for Unity R6_1
- Live2D Cubism 4 SDK for Native R6_1
- Live2D Cubism 4 SDK for Web R6_1
- Live2D Cubism 4 SDK for Java R1 beta3
- Live2D Cubism Viewer for Unity 1.4.7_1
- Live2D Cubism AE Plugin R8
本件の影響範囲の対象は以下の通り。
Cubism Editor 4.2.00 beta1 以降の一部機能
- 組み込み用モデルトラック
対象となるCubism SDK (3以降)
- Cubism SDK for Unity
- Cubism SDK for Native
- Cubism SDK for Java
対象となるCubism SDKを利用しているアプリケーション
- Cubism Viewer for OW
- Cubism Viewer for Unity
- 拡張性アプリケーション(任意のMOC3ファイルを読み込むことができるアプリケーション。nizima LIVEほか、各種VTuber用トラッキングソフト等)