パスワードを忘れた? アカウント作成

アカウントを作成して、スラドのモデレーションと日記の輪に参加しよう。

12854581 story
バグ

AppleのOSにStagefrightのような脆弱性 32

ストーリー by headless
類似 部門より
画像処理関連APIのバグにより、リモートからの任意コード実行が可能となるOS XやiOSなどの脆弱性が発見され、Appleが各OSの最新版で修正している(Talosのブログ記事The Guardianの記事9to5Macの記事BetaNewsの記事)。

TALOS-2016-0171(CVE-2016-4631)はImage I/O APIにおけるTIFFファイルの処理に関する脆弱性で、細工したTIFFファイルを読み込ませることでヒープベースのバッファーオーバーフローを引き起こし、リモートからのコード実行が可能となる。iMessageやMMSで攻撃用のファイルを送り付ければ、ターゲットが操作を行わなくても攻撃が実行される可能性も指摘されている。脆弱性の内容は異なるものの、攻撃のベクターが似通っていることから、昨年話題になったAndroidのStagefright脆弱性を引き合いに出す記事が多いようだ。

このほかTalosが今回公表した中で、幅広いApple製OSに影響を及ぼす脆弱性としては、Core Graphics APIの脆弱性(CVE-2016-4637)が挙げられる。こちらは細工したBMPファイルにより領域外メモリーへの書き込みが発生し、リモートからのコード実行が可能というもの。CVE-2016-4631とCVE-2016-4637はOS X El Capitan v10.11.6およびiOS 9.3.3tvOS 9.2.2watchOS 2.2.2で修正されている。CVE-2016-4629 / CVE-2016-4630はOS X 10.11.6で修正されており、CVE-2016-1850はOSX 10.11.5で修正されているとのことだ。
12848555 story
変なモノ

自分が使っていることを他人にあまり知られたくないアプリ、何かある? 85

ストーリー by headless
秘密 部門より
自分のイメージに合わないアプリでも、みんなが使っていれば恥ずかしくないが、「こんなアプリ使ってるんだ」と思われたら嫌だと思うアプリもあるだろう。The Next WebのNatt Garun氏は、各自がスマートフォンにインストールしているアプリの中で、一番恥ずかしいアプリについて同僚の編集者などに尋ねた結果をまとめている(The Next Webの記事)。

The Next Web CEOのBoris Veldhuijzen van Zanten氏(男性)は、主に女性がターゲットのアプリだと気付かず使っていたフィットネスアプリ「Zova」を挙げている。本人は非常に気に入っていたのだが、友人に指摘されて初めて女性向けであることに気付いたという。

Garun氏自身は写真を加工して体形を補正する画像編集アプリ「Spring」を挙げている。タイ出身のGarun氏は身長約157㎝。タイの女性としては普通の身長だが、The Next Webの同僚と比べると自分が小さいと感じることも多いようだ。

このほか、午前3時まで焼きたてのクッキーを配達してくれる「Insomnia Cookies」のアプリや、顔写真またはカメラからの映像にメイクアップを合成するアプリ「YouCam Makeup」が挙げられている。YouCam Makeupを使うMatt Navarra氏は、6歳の娘が気に入っていると説明するが、そんなことを信じる人は誰もいないと思っているそうだ。

スラドの皆さんが使用しているアプリの中に、あまり人に知られたくないものはあるだろうか。
12848127 story
Windows

Windows 10 Anniversary UpdateでBSoDに追加されるQRコード、攻撃に使われる可能性が指摘される 38

ストーリー by headless
用心 部門より
Windows 10 Anniversary Updateでは深刻なエラーが発生したときに表示されるブルースクリーン(BSoD)にQRコードが追加されるようだが、これを悪用した攻撃が行われる可能性をPanda Securityが指摘している(Panda Securityのニュース記事BetaNewsの記事)。

BSoDのQRコードは、スマートフォンのQRコードリーダーアプリなどでスキャンするとMicrosoftのトラブルシューティングページにリダイレクトされるというものだ。しかし、偽のBSoDを表示させることはそれほど難しいことではなく、QRコードでフィッシングサイトに誘導したり、ドライブバイダウンロードでマルウェアに感染させるなどの攻撃に悪用される可能性もある。

QRコードを悪用した攻撃以前から注意喚起されているが、深刻なエラーが発生したと思い込まされることで、偽サイトであることに気付かず個人情報などを入力してしまう可能性もある。現在のところ、本物のBSoDに表示されるQRコードはエラーの内容にかかわらず同じページを示しているのでわざわざスキャンするまでもないが、今後変更される可能性もある。そのため、実際の処理を実行する前に読み取り内容を確認できるQRコードリーダーアプリを使用したり、スキャンする前にCtrl+Alt+Delキーを押すなどするといいだろう。
12844201 story
火星

火星探査車Curiosity、セーフモードから復帰する 15

ストーリー by hylom
何度でも蘇れ 部門より
headless 曰く、

NASAは11日、火星探査車Curiosityがセーフモード(スタンバイ)から復帰して完全な動作をするようになったことを発表した(NASAの発表The VergeRegister)。

Curiosityは2日に自動でセーフモードへ移行したが、火星探査車チームが復旧作業を進め、9日にはセーフモードからは復旧していた。セーフモードではほとんどの作業が停止し、健康状態の維持と事前設定された通信を復旧させるための処理のみを実行する。

セーフモード移行の原因としては、画像転送処理に関するモードの1つでソフトウェアミスマッチが発生した可能性が高いという。そのため、今後の探査ではこのモードの使用を避け、代替の方法で処理を行うとのこと。

Curiosityは2012年の火星着陸以降3回セーフモードに移行しているが、すべて2013年に発生したものだ。

12839096 story
医療

fMRIのソフトウェアに不具合、fMRIを使った直近1年の研究結果の正当性が危ぶまれる 20

ストーリー by hylom
そんな影響が 部門より
あるAnonymous Coward曰く、

脳の活動を視覚化できる装置「fMRI」で使われているソフトウェアによる統計処理に不具合があり、その結果本来は陰性であるにもかかわらず陽性であると判断される偽陽性(False Positive)の割合が70%にも上っているという(GIAGAZINEThe Register論文Slashdot)。

これにより、fMRIを使った4万件もの研究結果の正当性に疑問符が付くことになり、非常に大きな影響があるという。

12829569 story
電力

電力小売り自由化後、未だに電気料金システムのトラブルは解消せず 13

ストーリー by hylom
東京電力の管理能力がさらに疑われる状況に 部門より
あるAnonymous Coward 曰く、

今年4月より「電力小売りの自由化」が行われたが、これに合わせて稼動するはずだった東京電力パワーグリッドのシステムトラブルが続いているという(日経新聞)。

東京電力パワーグリッドは、顧客の電気メーターの検針や月間使用電力量データ集計を行い、小売り電気事業者にそれらを提供する業務を行っている。しかしシステムの障害によって小売り電気事業者は顧客の電力使用量が分からず、電気料金の請求ができない状況になっているそうだ。

日経新聞の記事によると、「システムトラブル」とはされているものの、その実態は顧客がシステムを利用するために必要なスマートメーターの導入が集中し、その情報や顧客情報のシステム登録が追いついていないことが原因だったという。

12816462 story
バグ

Microsoft、Windows 10 Anniversary Updateに向けた6月のBug Bashを実施中 39

ストーリー by headless
集中 部門より
Microsoftは14日、Windows 10 Insider PreviewのPC版 ビルド14366とモバイル版 ビルド14364のファーストリング向け提供開始に合わせて「Windows 10 Anniversary Update June Bug Bash」を開始した。16日にファーストリング向けの提供が始まったPC版/モバイル版のビルド14367でも継続して実施されている(Windows Experience Blogの記事)。

Bug Bashは数日を割り当ててMicrosoftのチーム全員が未報告の問題発見に集中するものだが、Insider Program参加者も加えたBug Bashは4月に初めて実施されており、今回が2回目となる。Bug Bashへの参加方法は4月と同じで、フィードバックHubアプリで「Windows 10 Anniversary Update 2016 June Bug Bash」というサムネイルのついたクエストを実行すればいい。これらのクエストは最新ビルド以外でも表示されるが、Bug Bashに参加するにはファーストリングに設定して最新ビルドにアップデートする必要がある。今回のBug Bashは日本時間6月20日15時59分に終了する。

ビルド14367では手書き認識でサポートする言語にインドネシア語/マレー語のほか、アフリカの言語が初めて追加されるなど、計23言語が新たに追加されている。また、PCでWindows 10のクリーンインストールを実行するためのツールの提供も開始されたが、ビルド14364/14366を含め変更点は大半が問題の修正や改善で、目立った新機能は少ない。一方、ビルド14367の既知の問題点はPC版で1件、モバイル版で2件。それぞれビルド14366/14364で3件あった問題点のうち2件が修正されており、モバイル版で新たに1件が追加されている。

Windows 10のクリーンインストールツールはMicrosoftから公式な発表がある前に存在が確認されていたが、ビルド14367では「設定→更新とセキュリティ→回復」にツールを紹介するMicrosoft Communityのページへのリンクが追加されている。ツールを実行すると最新版のWindows 10をインストールして、Windows 10標準以外のプリインストールアプリを削除できる。個人用ファイルを保持するオプションは用意されるが、プレビュー期間中はアプリに関連付けられたデジタルライセンスやデジタルコンテンツなどについては保証されない。また、実行のタイミングによっては現在実行しているビルドよりも古いビルドがインストールされる可能性もあるという。この場合、個人用ファイルを保持するオプションは使用できないとのこと。なお、ツールはビルド14342以降のWindows 10 Insider Preview Pro/Homeで実行可能だ。
12815658 story
Facebook

Facebook、誤ってフィリピンが戦時であると宣言 38

ストーリー by hylom
知らなかった 部門より
headless 曰く、

Facebookが12日、フィリピンの独立記念日を祝うメッセージをユーザーのタイムラインに投稿した。しかし、投稿されたフィリピンの国旗のイラストが「戦時中」を表すものだったというミスが起きていたという(The Philippine StarThe Verge)。

フィリピンでは国旗の掲揚方法により平時と戦時を区別するように法律で定められているのだという。平時には青い側を上にして掲揚するが、戦時には赤い側を上にして掲揚する。Facebookの投稿したメッセージには独立記念日を祝う人々のイラストが添えられていたのだが、イラスト中央のフィリピン国旗が上下逆さまに描かれていたらしい。

誤りに気付いたFacebookはメッセージを削除したが、スクリーンショットがTwitterなど別のSNSで拡散してしまったようだ。FacebookはThe Philippine Starに対し、意図したことではなかったとして謝罪する声明を送ったとのことだ。

12814501 story
バグ

Let's Encrypt、ほかのユーザーのメールアドレスを記載したメールをユーザーに送信 20

ストーリー by hylom
うっかり 部門より
headless 曰く、

Let's Encryptが11日、ほかのユーザーの電子メールアドレスを記載した電子メールをユーザーに送信していたことを発表、謝罪した(Let's Encryptの報告Register)。

この電子メールは、電子メールアドレスを登録しているすべてのアクティブサブスクライバーに対し、サブスクライバー契約書の内容変更を知らせる内容で、自動送信システムにより送信された。しかし、プログラムのバグにより、前に送信した送信先が次々と本文に付加されていったのだという。問題に気付いたLet's Encryptは全体のおよそ1.9%にあたる7,618通を送信したところでシステムを停止させたが、0~7,618件(件数は原文ママ)の電子メールアドレスが記載された電子メールが送信されてしまったとのこと。

Let's Encryptでは原因を調査し、再発防止に努めるとしており、調査結果を後日発表するとのこと。また、該当する電子メールを受信したユーザーに対しては、リストを公開しないように求めている。

12810059 story
Mozilla

Mozilla、オープンソースソフトウェアのセキュリティ向上のための基金を創設 40

ストーリー by headless
資金 部門より
Mozillaは9日、オープンソースのセキュリティ向上を進めるための基金「Secure Open Source Fund (SOS Fund)」の開始を発表した(The Mozilla Blogの記事BetaNewsの記事Softpediaの記事V3.co.ukの記事)。

HeartbleedやShellshockのように一般向けのニュースにも取り上げられるようなオープンソースソフトウェアの重大な脆弱性が見つかっているにも関わらず、現在でもオープンソースソフトウェアのセキュリティを向上させるための十分な援助が行われているとはいい難い状況だという。

SOS FundはMozilla Open Source Support(MOSS)プログラムの一部となる。当初は50万ドルが割り当てられ、重要なオープンソースプロジェクトについて、セキュリティ監査と修正、修正の検証という3つのステップで必要な資金や人材を提供する。既に3件のオープンソースソフトウェアでテストを行い、合計43のバグを発見・修正したとのこと。

MozillaではSOS Fundがきっかけとなり、オープンソースソフトウェアを使用する多くの企業や政府がセキュリティ向上のための資金を援助するようになることを望んでいるとのことだ。
12807369 story
アナウンス

AcerやASUS、Dell、HP、LenovoのPCにプリインストールされているソフトウェアに脆弱性が見つかる 29

ストーリー by hylom
これだからメーカー製PCは 部門より
caret曰く、

セキュリティ企業Duo Securityの研究部門Duo Labsが5月31日、PCにプリインストールされているソフトウェアに関する調査書「Out-of-Box Exploitation: A Security Analysis of OEM Updaters」を発表した(Duo Labsの投稿ITmediaZDNet JapanマイナビニュースGIGAZINE)。

この調査書では、Acer、ASUS、Dell、HP、Lenovo製のPCにプリインストールされているソフトウェアに深刻な脆弱性が存在することが指摘されている。これを受け、Lenovoはセキュリティアドバイザリで「Lenovo Accelerator Application」をアンインストールするようアナウンスした(レノボ セキュリティ アドバイザリZDNet JapanITmediaマイナビニュース)。

また、Acerは脆弱性が指摘された「Acer Care Center」の問題を解決するアップデートを配信した(日本エイサー株式会社のお知らせ)。

DELLは「現時点において当社の顧客がこの問題の影響を受けることはない」という旨の声明を発表している(デル株式会社の声明)。Duo Labsが報告する前に、脆弱性を解決するアップデートをリリースしていたためだという。

ASUSは脆弱性を認めたが、まだ修正が完了していないもようだ。HPは、すでに脆弱性を修正しているとのこと。

12797952 story
Debian

Systemd、ログアウト時にバックグラウンドプロセスをkillするよう既定値を変更へ 82

ストーリー by hylom
知らずに悲劇が発生する予感 部門より
Ryo.F 曰く、

Debianのバグトラッカによると、/etc/systemd/logind.confで設定できる「KillUserProcesses」の既定値が「no」から「yes」に変更されたようだ(Slashdot)。

たとえばsshで接続してscreenやtmuxで作業し、デタッチ・ログアウトしてしばらく経ってから作業結果を確認、といった作業で悲劇が起こる可能性が。

なぜこうなった……。

KillUserProcessesの値が「yes」に設定されていると、ログアウト時にsystemdが自動的にユーザーのバックグラウンドプロセスを削除するようになる。それによってこのような問題が発生するようになるという。

12792801 story
セキュリティ

雑音で盗聴を防ぐ盗聴妨害器 40

ストーリー by hylom
糸電話で話そう 部門より

「盗聴器は発見するよりも妨害するほうが早い」という話がラジオライフ.comで紹介されている。そのため、「盗聴妨害機」なるものが販売されているそうだ。

この盗聴妨害機「TB-2000」は、スピーカーから人間の音声帯域をカバーする妨害音を出すことで盗聴を阻止するというデバイス。女性の声および男性の声に適した妨害音を鳴らせるそうだ。

また、壁に直接マイクを当てて隣室の会話を聞く「コンクリートマイク」に特化した妨害音発生器もあるそうだ。この製品「TBX-1000」は、壁に接触させた状態でスイッチを入れることでノイズを発するとともに振動してコンクリート越しでの盗聴を妨害するという。

12788109 story
バグ

Apple、文鎮化問題が発生した9.7インチiPad Proに対するiOS 9.3.2の提供を一時中止 62

ストーリー by headless
中止 部門より
Appleは20日、9.7インチiPad Proに対するiOS 9.3.2の提供を一時中止した(iMoreの記事Neowinの記事9to5Macの記事MacRumorsの記事)。

16日にリリースされたiOS 9.3.2では、9.7インチiPad Proの一部でアップデートによる文鎮化が発生していた。影響を受けた9.7インチiPad Proでは復元のためにiTunesへの接続を求めるメッセージが表示されるのだが、iTunesに接続するとエラー「56」が表示されて復元は行われないという。

今年初めにはTouch IDをAppleの正規サービス以外で交換した端末で、iOSをアップデートすると発生するエラー53が話題となったが、エラー56はまた別のハードウェア関係のエラーとされている。3月にリリースされたiOS 9.3では古いデバイスでアップデート後にアクティベーションできなくなる問題も発生している。

iOS 9.3.2は1か月以上にわたってベータテストが行われ、4つのベータ版が提供されていたが、問題はその間発生していなかったようだ。この問題についてAppleでは、なるべく早く修正版を提供すべく作業を進めているとのことだ。
12782020 story
ソフトウェア

Apple Musicでのローカルファイル削除問題、AppleはiTunesのアップデートで対策予定 29

ストーリー by hylom
バグなのか仕様なのか 部門より
headless 曰く、

Apple Musicでローカルファイルが削除される問題について、Appleは今週リリース予定のiTunesのアップデートで対策を行うそうだ(iMoreMacRumorsThe Next WebThe Verge)。

ただし、Appleでは問題を再現できていないとのことで、原因も明らかになっていない。iTunesのアップデートには追加の安全策が含まれるとのことだが、実際にAppleが原因を把握しているのかどうかは不明なため、実際にアップデートで問題が解消するのかどうかも不明だ。Appleはユーザーに対し、同様の問題に遭遇したらAppleCareに連絡するよう求めている。

typodupeerror

アレゲは一日にしてならず -- アレゲ研究家

読み込み中...