欢迎光临散文网 会员登陆 & 注册

关于Live2D Cubism Core(SDK)漏洞的通知

2023-03-06 19:29 作者:Live2D官方账号  | 我要投稿

近日Live2D公司收到关于Live2D Cubism Core(SDK)的漏洞报告。本次因产品的漏洞为广大Live2D用户带来不安与不便,我们深表歉意。

以下报告将详细解释该漏洞的危险性和所涉及的风险。


关于漏洞的详情

当恶意的MOC3文件被应用程序执行时该漏洞会发生。

以Cubism Core读取被修改的MOC3文件,可能会造成在内存范围外的写入,导致应用程序闪退。

目前,在内存范围外写入的数据类型是有限的,任意执行恶意代码的可能性很低,但是我们会征求外部安全管理专家的建议并继续进行检证。

为了把漏洞的影响控制到最小,我们将会在未来几天内准备好安全补丁,并提供给受影响的应用程序(见下文)。


由用户本人所创建的、或在nizima交易平台上出售的MOC3文件是安全的,用户可以继续安心地使用。


关于具体的影响范围

本次漏洞的影响范围包括:

■Cubism Editor 4.2.00 beta1 或以上的版本的下列功能

  ・运行时模型轨

■下列Cubism SDK(3或以上的版本)

  ・Cubism SDK for Unity

  ・Cubism SDK for Native

  ・Cubism SDK for Java

■下列使用了Cubism SDK的应用程序

  ・Cubism Viewer for OW

  ・Cubism Viewer for Unity

  ・可扩展性应用程序(指可以读取任意MOC3文件的应用程序。包括nizima LIVE以及其他VTuber用面捕软件等)


如何防止损害

为了防止因恶意篡改的MOC3文件造成损害,请用户采取以下预防措施:

  ・请不要打开来历不明的MOC3文件。

  ・在可以信赖的提供源获取和打开MOC3文件。

  ・对于可运行非特定的多个MOC3文件的应用程序(如上述的应用程序),请确保程序为最新版本。



【关于程序错误或漏洞的反馈】

・Live2D公司为了让创作者能够安心地投入创作和开发中,我们会参考来自用户的反馈,并进行产品的开发与修正。

・关于错误或漏洞的反馈,用户可以通过Live2D官方社区或客服咨询表格与我们联系。


■Live2D官方社区:https://creatorsforum.live2d.com/c/cubismeditor/problems/40
■客服咨询表格:https://www.live2d.jp/chn/contact/?redirect=1


本次为Live2D用户带来了不安和焦虑,我们再次向广大用户表示歉意。

我们将继续尽最大努力为用户提供稳定和安全的产品。


由衷感谢您的理解和支持。


株式会社Live2D(Live2D Inc.)

关于Live2D Cubism Core(SDK)漏洞的通知的评论 (共 条)

分享到微博请遵守国家法律