menu
menu menu_close

NEWS

お知らせ

このエントリーをはてなブックマークに追加
このエントリーをはてなブックマークに追加

プロダクト2023.03.06

Live2D Cubism Core脆弱性についてのお知らせ

現在報告されているLive2D Cubism Core(SDK)に関する脆弱性について、ご心配をおかけしてしまい誠に申し訳ございません。

該当の脆弱性における危険性、及びそれに伴う脅威についてご報告いたします。

最新情報(随時更新)

  • 調査報告(2023年4月28日)

    2023年3月6日に弊社よりお知らせしたLive2D Cubism Core脆弱性の件(CVE-2023-27566)につきまして、同年3月8日にセキュリティ専門企業であるGMOサイバーセキュリティ byイエラエ株式会社に調査依頼を行って参りました。同年4月20日付で本脆弱性について以下の内容の調査報告書を受領いたしましたのでご報告申し上げます。

    1. 2023年3月16日にリリースしたLive2D Cubism Editor 4.2.03_2以降の製品において、本脆弱性に対して有効な対策が施されている。
    2. 上記4.2.03_2以前のバージョンのLive2D Cubism Editorで書き出したMOC3ファイルにおいても、MOC3ファイルが任意コード実行を行うことは困難であり、ユーザーにとって脅威となる可能性は極めて低い。


    以上となります。

    引き続きより安心して製品をご利用いただくためにも、Live2D Cubism Editorを最新のバージョンへアップデートいただくことを推奨いたします。

    この度はユーザーの皆様にご迷惑とご心配をおかけしましたことをあらためてお詫び申し上げます。
    引き続き株式会社Live2D、およびLive2D Cubismをどうぞよろしくお願いいたします。

    【各種製品の対応状況や最新版のダウンロードはこちら】

  • 製品アップデートのお知らせ(2023年3月17日)
    【各種製品のダウンロード先はこちら】
    ・Cubism 4 AE Plugin R8
  • 製品アップデートのお知らせ(2023年3月16日)
    【各種製品のダウンロード先はこちら】
    ・Cubism Editor 4.2.03_2
    ・Cubism Editor 4.2.04 beta4
    ・Cubism 4 SDK for Unity R6_2
    ・Cubism 4 SDK for Native R6_2
    ・Cubism 4 SDK for Web R6_2
    ・Cubism 4 SDK for Java R1 beta4
    ・Cubism 4 SDK for Cocos Creator R1 beta2
    ・Cubism Viewer for Unity 1.4.7_2
    ・Cubism MOC3 Consistency Checker 1.00.02
  • 不具合のお知らせ(2023年3月14日)
    先日公開された各種製品において、以下のMOC3ファイルが正しいフォーマットにも関わらず、読み込めない不具合が発生しております。

    ・ブレンドシェイプを使用しており、かつ「ブレンドシェイプの重みの制限設定」を行った一部のMOC3ファイル

  • Cubism Core脆弱性の対策をした次の製品を公開しました(2023年3月10日)
    【各種製品のダウンロード先はこちら】
    ・Live2D Cubism Editor 4.2.03_1
    ・Live2D Cubism Editor 4.2.04 beta3
    ・Live2D Cubism 4 SDK for Unity R6_1
    ・Live2D Cubism 4 SDK for Native R6_1
    ・Live2D Cubism 4 SDK for Web R6_1
    ・Live2D Cubism 4 SDK for Java R1 beta3
    ・Live2D Cubism Viewer for Unity 1.4.7_1
  • MOC3 Consistency Checker 1.00.01を公開しました(2023年3月10日)
    【ダウンロード&更新履歴はこちら】
  • MOC3 Consistency Checker 1.00.00を公開しました(2023年3月9日)
    このツールにMOC3ファイルを読み込むことで、ファイルが正しい形式であることを判別できます。ファイルが不正に改変されたものであることも判別が可能です。
    【ダウンロード&使用方法はこちら】

脆弱性の詳細

悪意を持って改変されたMOC3ファイルをアプリケーションで実行した際に発生する脆弱性となります。

改変されたMOC3ファイルを対象となるCubism Coreに読み込ませることで、メモリの範囲外書き込みが発生しアプリケーションがクラッシュする場合があります。

現時点では、メモリの範囲外に書き込みが行われるデータの種類は限定的であり、悪意のあるコードを任意実行できる可能性は低いと想定しておりますが、今後外部のセキュリティ専門家のアドバイスを受けつつ検証を進めて参ります。

この脆弱性を修正したバージョンを数日以内に準備し、影響を受ける可能性のあるアプリケーション(後述)に共有する予定です。

自身で制作されたMOC3ファイルや信頼できる提供元のMOC3ファイルは、引き続き安心してご利用いただけます。

具体的な影響範囲について

本件の影響範囲の対象は以下となります。

  • Cubism Editor 4.2.00 beta1 以降の一部機能
    • 組み込み用モデルトラック
  • 対象となるCubism SDK (3以降)
    • Cubism SDK for Unity
    • Cubism SDK for Native
    • Cubism SDK for Java
  • 対象となるCubism SDKを利用しているアプリケーション
    • Cubism Viewer for OW
    • Cubism Viewer for Unity
    • 拡張性アプリケーション(任意のMOC3ファイルを読み込むことができるアプリケーション。nizima LIVEほか、各種VTuber用トラッキングソフト等)

被害を防ぐには

悪意をもって改変されたMOC3ファイルによる被害を防ぐために、ユーザーの皆様は以下にお気をつけください。

  • 出所不明のMOC3ファイルを開かない。
  • 信頼できる提供元から入手したMOC3ファイルを開く。
  • 不特定多数のMOC3ファイルを使うアプリケーション(上記記載のアプリケーション)を常に最新の状態に保つ。

不具合・脆弱性の報告について

  • Live2D社では、クリエイターの皆様が安心して創作・開発に打ち込めるよう、製品の開発・修正を行なっています。
  • 製品の不具合や脆弱性の報告については、お問い合わせフォームよりお知らせください。

 

ご理解・ご協力のほどよろしくお願いいたします。

株式会社Live2D

このエントリーをはてなブックマークに追加
このエントリーをはてなブックマークに追加