近日Live2D公司收到關(guān)于Live2D Cubism Core(SDK)的漏洞報告。本次因產(chǎn)品的漏洞為廣大Live2D用戶帶來不安與不便，我們深表歉意。

以下報告將詳細解釋該漏洞的危險性和所涉及的風險。

關(guān)于漏洞的詳情

當惡意的MOC3文件被應(yīng)用程序執(zhí)行時該漏洞會發(fā)生。

以Cubism Core讀取被修改的MOC3文件，可能會造成在內(nèi)存范圍外的寫入，導(dǎo)致應(yīng)用程序閃退。

目前，在內(nèi)存范圍外寫入的數(shù)據(jù)類型是有限的，任意執(zhí)行惡意代碼的可能性很低，但是我們會征求外部安全管理專家的建議并繼續(xù)進行檢證。

為了把漏洞的影響控制到最小，我們將會在未來幾天內(nèi)準備好安全補丁，并提供給受影響的應(yīng)用程序（見下文）。

由用戶本人所創(chuàng)建的、或在nizima交易平臺上出售的MOC3文件是安全的，用戶可以繼續(xù)安心地使用。

關(guān)于具體的影響范圍

本次漏洞的影響范圍包括：

■Cubism Editor 4.2.00 beta1 或以上的版本的下列功能

　　?運行時模型軌

■下列Cubism SDK（3或以上的版本）

　　?Cubism SDK for Unity

　　?Cubism SDK for Native

　　?Cubism SDK for Java

■下列使用了Cubism SDK的應(yīng)用程序

　　?Cubism Viewer for OW

　　?Cubism Viewer for Unity

　　?可擴展性應(yīng)用程序（指可以讀取任意MOC3文件的應(yīng)用程序。包括nizima LIVE以及其他VTuber用面捕軟件等）

如何防止損害

為了防止因惡意篡改的MOC3文件造成損害，請用戶采取以下預(yù)防措施：

　　?請不要打開來歷不明的MOC3文件。

　　?在可以信賴的提供源獲取和打開MOC3文件。

　　?對于可運行非特定的多個MOC3文件的應(yīng)用程序（如上述的應(yīng)用程序），請確保程序為最新版本。

【關(guān)于程序錯誤或漏洞的反饋】

?Live2D公司為了讓創(chuàng)作者能夠安心地投入創(chuàng)作和開發(fā)中，我們會參考來自用戶的反饋，并進行產(chǎn)品的開發(fā)與修正。

?關(guān)于錯誤或漏洞的反饋，用戶可以通過Live2D官方社區(qū)或客服咨詢表格與我們聯(lián)系。

■Live2D官方社區(qū)：https://creatorsforum.live2d.com/c/cubismeditor/problems/40
■客服咨詢表格：https://www.live2d.jp/chn/contact/?redirect=1

本次為Live2D用戶帶來了不安和焦慮，我們再次向廣大用戶表示歉意。

我們將繼續(xù)盡最大努力為用戶提供穩(wěn)定和安全的產(chǎn)品。

由衷感謝您的理解和支持。

株式會社Live2D（Live2D Inc.）