25歳ですって。

どうも、ぼくです。

Blenderが25歳、ということで「Blender’s 25th birthday!」という記事が出てました。1/2が誕生日、とのこと。おめでとうございます。今年は動画も。

続きを読む
広告

キーワードで綴る2018年のBlender

どうも、ぼくです。

今年も終わりですね、ってことでいくつかのキーワードをもとに今年のBlender関連をちょっと振り返ってみたいと思います(秘密メモから引っ張り出してきました)。「キーワードで綴る2018年のBlender」、はじまりはじまり。

Next Gen

「Blenderで作られたNexFlixによる全世界配信のフルムービー」って事で今年一番の話題じゃないでしょうか。邦題は「ネクスト ロボ」。アニメーション制作はカナダのTangent Animation

続きを読む

Grease Pencil

どうも、ぼくです。

この最近 Grease Pencil が話題のようで、Blender 2.80 アルファ2 ではアノテーションツールとしての機能の他に、別途「グリースペンシル・オブジェクト」として扱えるようになっています。

これは「HERO」見てもらえれば良いですかね。この動画は2.7xのカスタムビルドを使って作られました。2:33からメイキング画面が出てきます。2.80ではこれが作られた時点よりも機能が追加されています

ちなみに(アノテーションツールとしての)Grease Pencil 機能自体は 2008年に Blenderに加わりました。

そういえばMayaにもGrease Pencil ありますね。

さて、2.8ベータリリースも近づいてきて、「新しいグリースペンシル」についての情報や動画も出て来始めてなんだか面白いことになっています。とりあえず自分の確認できる範囲のものを少しまとめてみました。自身の備忘のためという側面も大きいですが、まあそれはそれ、ということで。

続きを読む

ベータ版リリース前の

どうも、ぼくです。

(本記事は2.80ベータ版向けのお話。わかってる人は読み飛ばしてください)

Blender 2.80 のベータ版リリースがもう少し、というところまできています。これまでのアルファ2では「Blenderが落ちてしまうような重大なエラー」の報告のみ受け付けていたようですが、ベータ版からはそれ以外のバグも報告OKに、ということでした。

「バグ報告してBlender 2.80 の品質向上に貢献したい」という方もいらっしゃるでしょう。まあベータ版が出て、さらに全てのバグ報告OKのアナウンスがされてからということになると思いますがアルファ2のデイリービルド触っておいて慣れておくなど、事前準備はできるかなと思います。

そもそも

「そもそもUI変わっててどう使って良いのかわからないのですが」はい、ごもっともです。現状マニュアルは2.79 用のもので、2.80用のものはおそらくもう少し先になると思います(まだベータってとこなので)。仕方ないので、先行して2.80の情報を出している動画やこちら( https://developer.blender.org/T55194 )から変更点やショートカットキー割り当てを確認するしか現状なさそうです。

続きを読む

2.80の足音と

どうも、ぼくです。

前回のポストで「以前と現在の違い」について触れたんですが、2.80リリースがどんどん迫って来た(ベータ版10月末、公式リリース2019年はじめ、というスケジュールらしい)ということもあって具体的な動きも出て来ています。例えば、先行して(ある程度現実的な)機能紹介の動画が出て来ているというもの。

ベータリリースが10月末予定、UIの大きな変更も落ち着いている(&現時点でもデイリービルドを使うことが可能)ということもあって、「ロケットスタートかましたい」とか「ベータ出たら積極的にバグレポートするんだ」という人にはとても有用な情報となっています、多分ね。

続きを読む

Blender初心者が…のUpdate

どうも、ぼくです。

Blender初心者が知っておくべきこと(日本語訳)を見にこられる方が一昨日あたり増えたようでして、ありがたいことでございます。

ただ、翻訳記事として書いた2014年11月時点からBlenderを取り巻く状況も変わってきているので、その辺のアップデートも兼ねて記してみたいと思います。少しだけ早くBlenderを触り始めただけの人なのであまり深入りはしません。

続きを読む

「Blender」の脆弱性の件

どうも、ぼくです。

今回はBlenderに21個の脆弱性がウンタラカンタラ、という件についてちょっと「知ったか」しようかな、と。

続き書いたのでそちらもどうぞ?
[EDIT] BlenderNationにこの脆弱性についての記事が投稿されています。
[EDIT] (1/16)T52924 にて該当箇所の修正を完了した(D2999,D3001,D3002)とのこと。既にデイリービルドで試すことはできる模様?
[EDIT]「注目の脆弱性:Blender で複数確認された未修正の脆弱性」 という日本語訳の記事が公開されています。

3Dモデリングソフト「Blender」に未修正の脆弱性が複数存在 ~Talosが指摘 という記事で最初に知ったんですけども、「Blenderで脆弱性とはまた久々だな」とかいう感じでして。

Talosの原文記事とかBlenderのバグトラッカー( T52654 ,T52924)のエントリとか確認してきました。なるほどわからん…じゃなかった、バッファオーバーフローによる脆弱性、っていうのが中心に複数個あるってことなんですね。で、結果として「悪意あるコードの実行を許してしまう」恐れがある、というTalosからの指摘、と。

で、そもそもバッファオーバーフローって何よ?ってことなんですけど、プログラムがメモリ上に確保した領域(バッファ)以外に書き込みを行うことを言います。この辺見てご理解いただけると思います(?)

なお、「悪意のあるコードを埋め込んだファイル」を仕込んでおいて、それをBlenderで読み込み実行させる、ということができるのが問題のようです。

例えばTALOS-2017-0406では(特定の条件の?)TIFファイルを読み込むことで、ヒープベースのバッファオーバーフローの原因となりうる、とあります。なお、TALOS-2017-0406からTALOS-2017-0457の21個がそんな感じです。

反対に言うと、バッファオーバーフローさせてメモリに書き込んだのがプログラム実行領域、またはスタック領域で、悪意のあるコードまたは悪意のあるコードへのジャンプ先アドレス、という仕込みをしないと単純に「Blender落ちた」ってなるくらい(まあそれもバグっちゃあバグ)なんじゃないかな、と。

Talosの原文記事 では考えられるシナリオとして「ソーシャルエンジニアリング」や「スピアフィッシング」、「GithubやGoogle Drive,Dropboxなどで仕込んだファイルをアップロード」という記述がありますね。まあ危険度ではメールに添付されたVBScriptをうっかりクリックしちゃったらウィルス感染しちゃった的なものと同じくらいでしょうか。ちょっと気を抜けない感じ。

なので、できる対策としては「出自の明らかなファイルのみ利用する」ってことになります。 .blendファイルはもちろんですが、及び画像・映像関連のBlenderで利用しそうなものも、という感じですかね。

  • TALOS-2017-0406 – 0414:  VSEでの .tiff/.png/.iris/.cin/.bmp/.avi 読み込み時
  • TALOS-2017-0415: ファイルブラウザでサムネール表示時
  • TALOS-2017-0425: .blend (の画像)
  • TALOS-2017-0433,0438,0451,0452,0453: 古いバージョンで保存された .blend ファイル
  • TALOS-2017-0434: .blend
  • TALOS-2017-0454,0455,0456,0457: .blend データ変換(操作)時

「外部データに頼らず全て一から丹精込めて作っています」という人はひとまず安心なのかな、といった感じ。

.blendファイルに対応しているレンダーファームとか3Dプリンタのオーダーとかその辺のところはどう対応するんでしょうかねえ?

で、「Blender declined(Blender側がやんわり断った)」という文章とともに brechtさんのコメントが画像で紹介されてるんですが。

Talos has responsibly disclosed these vulnerabilities to Blender in an attempt to ensure they are addressed. However, Blender has declined to address them stating that “fixing these issues one by one is also a waste of time.” As a result, there currently is no software update that addresses these vulnerabilities. Additionally, Blender developers believe that “opening a file with Blender should be considered like opening a file with the Python interpreter, you have [to trust] the source it is coming from.”

Talosとしては、もしかして、CVE開示->修正->ページ公開 みたいな流れを予想してたんでしょうか?こういう感じの。
それはそうなんですが、プライベートメールでやりとりした一部がBTのスレッドに出てた内容の限りだと「問題点指摘したよ?早く修正してね?」としか見えなくてちょっとツライ。

今回の公表を(一部しか説明されていないので)「Blenderをイメージダウンさせる攻撃」だとか受け取っちゃいそうな人もいるかもしれませんが、メモリぶっ壊すのはバグでしかないし、それがセキュリティの観点からは「悪用される恐れがあって修正しないとマズい」って言われているだけなんですよね。片や「そこまで重大とは考えてないし、修正に使えるリソースが無い」って言ってる。それだけのことですね。なお、こういった脆弱性は他ソフトで無いわけではなく(一例)。

Heartbleedの件で何も学んでいないのか!!」とか全く違う方面からブッコまれる方も出てきそうですが、そういう方は修正パッチを書いてBFに投げつけてあげるといいと思います(この機会にBlenderを使ってみましょう!)。また、ビットコインで寄付(最近対応する種類が増えました)も受け付けているので「セキュリティ担当を雇える」くらいの寄付でもしてあげればいいんじゃないかとも思います。

そして、Talosの記事に対する反応として Tonさんのコメント

Cisco wrote this yesterday:
http://blog.talosintelligence.com/2018/01/unpatched-blender-vulns.html

For the record – a day after Brecht’s reply I talked to a Cisco engineer who offered to help us with it.
Brecht is speaking here on his own terms, as one of the core team members but it’s not an official Blender Foundation statement that we don’t take these vulnerabilities seriously. There are just no simple or easy answers.

まあそうですわね。

今回brechtがコメントしていたPythonスクリプト実行の件については、以前のBlenderの脆弱性で、「Pythonスクリプトを直接実行できることで悪意のあるコードを実行できる」というものです。以前は起動時にPythonスクリプトの実行はデフォルト有効でした。これだと悪意のあるスクリプトも実行し放題なので、「信頼するコードのみ実行させる」ようにしましたとさ。今回の件とは関係がないのですが、引き合いに出したことで変な誤解する人もいそうですw

autoexcute

 

ではー。