近日Live2D公司收到关于Live2D Cubism Core(SDK)的漏洞报告。本次因产品的漏洞为广大Live2D用户带来不安与不便，我们深表歉意。

以下报告将详细解释该漏洞的危险性和所涉及的风险。

关于漏洞的详情

当恶意的MOC3文件被应用程序执行时该漏洞会发生。

以Cubism Core读取被修改的MOC3文件，可能会造成在内存范围外的写入，导致应用程序闪退。

目前，在内存范围外写入的数据类型是有限的，任意执行恶意代码的可能性很低，但是我们会征求外部安全管理专家的建议并继续进行检证。

为了把漏洞的影响控制到最小，我们将会在未来几天内准备好安全补丁，并提供给受影响的应用程序（见下文）。

由用户本人所创建的、或在nizima交易平台上出售的MOC3文件是安全的，用户可以继续安心地使用。

关于具体的影响范围

本次漏洞的影响范围包括：

■Cubism Editor 4.2.00 beta1 或以上的版本的下列功能

　　・运行时模型轨

■下列Cubism SDK（3或以上的版本）

　　・Cubism SDK for Unity

　　・Cubism SDK for Native

　　・Cubism SDK for Java

■下列使用了Cubism SDK的应用程序

　　・Cubism Viewer for OW

　　・Cubism Viewer for Unity

　　・可扩展性应用程序（指可以读取任意MOC3文件的应用程序。包括nizima LIVE以及其他VTuber用面捕软件等）

如何防止损害

为了防止因恶意篡改的MOC3文件造成损害，请用户采取以下预防措施：

　　・请不要打开来历不明的MOC3文件。

　　・在可以信赖的提供源获取和打开MOC3文件。

　　・对于可运行非特定的多个MOC3文件的应用程序（如上述的应用程序），请确保程序为最新版本。

【关于程序错误或漏洞的反馈】

・Live2D公司为了让创作者能够安心地投入创作和开发中，我们会参考来自用户的反馈，并进行产品的开发与修正。

・关于错误或漏洞的反馈，用户可以通过Live2D官方社区或客服咨询表格与我们联系。

■Live2D官方社区：https://creatorsforum.live2d.com/c/cubismeditor/problems/40
■客服咨询表格：https://www.live2d.jp/chn/contact/?redirect=1

本次为Live2D用户带来了不安和焦虑，我们再次向广大用户表示歉意。

我们将继续尽最大努力为用户提供稳定和安全的产品。

由衷感谢您的理解和支持。

株式会社Live2D（Live2D Inc.）