关于Live2D Cubism Core(SDK)漏洞的通知
近日Live2D公司收到关于Live2D Cubism Core(SDK)的漏洞报告。本次因产品的漏洞为广大Live2D用户带来不安与不便,我们深表歉意。
以下报告将详细解释该漏洞的危险性和所涉及的风险。
关于漏洞的详情
当恶意的MOC3文件被应用程序执行时该漏洞会发生。
以Cubism Core读取被修改的MOC3文件,可能会造成在内存范围外的写入,导致应用程序闪退。
目前,在内存范围外写入的数据类型是有限的,任意执行恶意代码的可能性很低,但是我们会征求外部安全管理专家的建议并继续进行检证。
为了把漏洞的影响控制到最小,我们将会在未来几天内准备好安全补丁,并提供给受影响的应用程序(见下文)。
由用户本人所创建的、或在nizima交易平台上出售的MOC3文件是安全的,用户可以继续安心地使用。
关于具体的影响范围
本次漏洞的影响范围包括:
■Cubism Editor 4.2.00 beta1 或以上的版本的下列功能
・运行时模型轨
■下列Cubism SDK(3或以上的版本)
・Cubism SDK for Unity
・Cubism SDK for Native
・Cubism SDK for Java
■下列使用了Cubism SDK的应用程序
・Cubism Viewer for OW
・Cubism Viewer for Unity
・可扩展性应用程序(指可以读取任意MOC3文件的应用程序。包括nizima LIVE以及其他VTuber用面捕软件等)
如何防止损害
为了防止因恶意篡改的MOC3文件造成损害,请用户采取以下预防措施:
・请不要打开来历不明的MOC3文件。
・在可以信赖的提供源获取和打开MOC3文件。
・对于可运行非特定的多个MOC3文件的应用程序(如上述的应用程序),请确保程序为最新版本。

【关于程序错误或漏洞的反馈】
・Live2D公司为了让创作者能够安心地投入创作和开发中,我们会参考来自用户的反馈,并进行产品的开发与修正。
・关于错误或漏洞的反馈,用户可以通过Live2D官方社区或客服咨询表格与我们联系。
■Live2D官方社区:https://creatorsforum.live2d.com/c/cubismeditor/problems/40
■客服咨询表格:https://www.live2d.jp/chn/contact/?redirect=1
本次为Live2D用户带来了不安和焦虑,我们再次向广大用户表示歉意。
我们将继续尽最大努力为用户提供稳定和安全的产品。
由衷感谢您的理解和支持。
株式会社Live2D(Live2D Inc.)