「Live2D Cubism Core（SDK）」に脆弱性、修正版にアップデートを

　（株）Live2Dは26日、アニメーション制作ツール「Live2D Cubism Core」シリーズの一部製品に、脆弱性が存在することを発表した。改変されたMOC3ファイルを対象となるCubism Coreに読み込ませることで、メモリの範囲外書き込みが発生しアプリケーションがクラッシュする場合があるという。 　同社はユーザーに対し、出所不明のMOC3ファイルを開かないことや、信頼できる提供元から入手したMOC3ファイルを開くこと、不特定多数のMOC3ファイルを使うアプリケーションを常に最新の状態に保つよう、注意を呼び掛けている。なお、自身で制作したMOC3ファイルや信頼できる提供元のMOC3ファイルは、引き続き利用できる。 　また、同社は、MOC3ファイルの検証ツール「MOC3 Consistency Checker 1.00.01」を公開している。ツールにMOC3ファイルを読み込むことで、ファイルが正しい形式であることや、不正に改変されたものであることを判別可能だ。 　3月14日現在、影響のある製品は以下の通り。なお、「Cubism AE Plugin R8」以外はすでに対策バージョンをリリースしている。 ・Live2D Cubism Editor 4.2.03_1 ・Live2D Cubism Editor 4.2.04 beta3 ・Live2D Cubism 4 SDK for Unity R6_1 ・Live2D Cubism 4 SDK for Native R6_1 ・Live2D Cubism 4 SDK for Web R6_1 ・Live2D Cubism 4 SDK for Java R1 beta3 ・Live2D Cubism Viewer for Unity 1.4.7_1 ・Live2D Cubism AE Plugin R8 　本件の影響範囲の対象は以下の通り。 Cubism Editor 4.2.00 beta1 以降の一部機能 ・組み込み用モデルトラック 対象となるCubism SDK (3以降) ・Cubism SDK for Unity ・Cubism SDK for Native ・Cubism SDK for Java 対象となるCubism SDKを利用しているアプリケーション ・Cubism Viewer for OW ・Cubism Viewer for Unity ・拡張性アプリケーション（任意のMOC3ファイルを読み込むことができるアプリケーション。nizima LIVEほか、各種VTuber用トラッキングソフト等）

Impress Watch