パスワードを忘れた? アカウント作成

12816462 story
バグ

Microsoft、Windows 10 Anniversary Updateに向けた6月のBug Bashを実施中 39

ストーリー by headless
集中 部門より
Microsoftは14日、Windows 10 Insider PreviewのPC版 ビルド14366とモバイル版 ビルド14364のファーストリング向け提供開始に合わせて「Windows 10 Anniversary Update June Bug Bash」を開始した。16日にファーストリング向けの提供が始まったPC版/モバイル版のビルド14367でも継続して実施されている(Windows Experience Blogの記事)。

Bug Bashは数日を割り当ててMicrosoftのチーム全員が未報告の問題発見に集中するものだが、Insider Program参加者も加えたBug Bashは4月に初めて実施されており、今回が2回目となる。Bug Bashへの参加方法は4月と同じで、フィードバックHubアプリで「Windows 10 Anniversary Update 2016 June Bug Bash」というサムネイルのついたクエストを実行すればいい。これらのクエストは最新ビルド以外でも表示されるが、Bug Bashに参加するにはファーストリングに設定して最新ビルドにアップデートする必要がある。今回のBug Bashは日本時間6月20日15時59分に終了する。

ビルド14367では手書き認識でサポートする言語にインドネシア語/マレー語のほか、アフリカの言語が初めて追加されるなど、計23言語が新たに追加されている。また、PCでWindows 10のクリーンインストールを実行するためのツールの提供も開始されたが、ビルド14364/14366を含め変更点は大半が問題の修正や改善で、目立った新機能は少ない。一方、ビルド14367の既知の問題点はPC版で1件、モバイル版で2件。それぞれビルド14366/14364で3件あった問題点のうち2件が修正されており、モバイル版で新たに1件が追加されている。

Windows 10のクリーンインストールツールはMicrosoftから公式な発表がある前に存在が確認されていたが、ビルド14367では「設定→更新とセキュリティ→回復」にツールを紹介するMicrosoft Communityのページへのリンクが追加されている。ツールを実行すると最新版のWindows 10をインストールして、Windows 10標準以外のプリインストールアプリを削除できる。個人用ファイルを保持するオプションは用意されるが、プレビュー期間中はアプリに関連付けられたデジタルライセンスやデジタルコンテンツなどについては保証されない。また、実行のタイミングによっては現在実行しているビルドよりも古いビルドがインストールされる可能性もあるという。この場合、個人用ファイルを保持するオプションは使用できないとのこと。なお、ツールはビルド14342以降のWindows 10 Insider Preview Pro/Homeで実行可能だ。
12815658 story
Facebook

Facebook、誤ってフィリピンが戦時であると宣言 38

ストーリー by hylom
知らなかった 部門より
headless 曰く、

Facebookが12日、フィリピンの独立記念日を祝うメッセージをユーザーのタイムラインに投稿した。しかし、投稿されたフィリピンの国旗のイラストが「戦時中」を表すものだったというミスが起きていたという(The Philippine StarThe Verge)。

フィリピンでは国旗の掲揚方法により平時と戦時を区別するように法律で定められているのだという。平時には青い側を上にして掲揚するが、戦時には赤い側を上にして掲揚する。Facebookの投稿したメッセージには独立記念日を祝う人々のイラストが添えられていたのだが、イラスト中央のフィリピン国旗が上下逆さまに描かれていたらしい。

誤りに気付いたFacebookはメッセージを削除したが、スクリーンショットがTwitterなど別のSNSで拡散してしまったようだ。FacebookはThe Philippine Starに対し、意図したことではなかったとして謝罪する声明を送ったとのことだ。

12814501 story
バグ

Let's Encrypt、ほかのユーザーのメールアドレスを記載したメールをユーザーに送信 20

ストーリー by hylom
うっかり 部門より
headless 曰く、

Let's Encryptが11日、ほかのユーザーの電子メールアドレスを記載した電子メールをユーザーに送信していたことを発表、謝罪した(Let's Encryptの報告Register)。

この電子メールは、電子メールアドレスを登録しているすべてのアクティブサブスクライバーに対し、サブスクライバー契約書の内容変更を知らせる内容で、自動送信システムにより送信された。しかし、プログラムのバグにより、前に送信した送信先が次々と本文に付加されていったのだという。問題に気付いたLet's Encryptは全体のおよそ1.9%にあたる7,618通を送信したところでシステムを停止させたが、0~7,618件(件数は原文ママ)の電子メールアドレスが記載された電子メールが送信されてしまったとのこと。

Let's Encryptでは原因を調査し、再発防止に努めるとしており、調査結果を後日発表するとのこと。また、該当する電子メールを受信したユーザーに対しては、リストを公開しないように求めている。

12810059 story
Mozilla

Mozilla、オープンソースソフトウェアのセキュリティ向上のための基金を創設 40

ストーリー by headless
資金 部門より
Mozillaは9日、オープンソースのセキュリティ向上を進めるための基金「Secure Open Source Fund (SOS Fund)」の開始を発表した(The Mozilla Blogの記事BetaNewsの記事Softpediaの記事V3.co.ukの記事)。

HeartbleedやShellshockのように一般向けのニュースにも取り上げられるようなオープンソースソフトウェアの重大な脆弱性が見つかっているにも関わらず、現在でもオープンソースソフトウェアのセキュリティを向上させるための十分な援助が行われているとはいい難い状況だという。

SOS FundはMozilla Open Source Support(MOSS)プログラムの一部となる。当初は50万ドルが割り当てられ、重要なオープンソースプロジェクトについて、セキュリティ監査と修正、修正の検証という3つのステップで必要な資金や人材を提供する。既に3件のオープンソースソフトウェアでテストを行い、合計43のバグを発見・修正したとのこと。

MozillaではSOS Fundがきっかけとなり、オープンソースソフトウェアを使用する多くの企業や政府がセキュリティ向上のための資金を援助するようになることを望んでいるとのことだ。
12807369 story
アナウンス

AcerやASUS、Dell、HP、LenovoのPCにプリインストールされているソフトウェアに脆弱性が見つかる 29

ストーリー by hylom
これだからメーカー製PCは 部門より
caret曰く、

セキュリティ企業Duo Securityの研究部門Duo Labsが5月31日、PCにプリインストールされているソフトウェアに関する調査書「Out-of-Box Exploitation: A Security Analysis of OEM Updaters」を発表した(Duo Labsの投稿ITmediaZDNet JapanマイナビニュースGIGAZINE)。

この調査書では、Acer、ASUS、Dell、HP、Lenovo製のPCにプリインストールされているソフトウェアに深刻な脆弱性が存在することが指摘されている。これを受け、Lenovoはセキュリティアドバイザリで「Lenovo Accelerator Application」をアンインストールするようアナウンスした(レノボ セキュリティ アドバイザリZDNet JapanITmediaマイナビニュース)。

また、Acerは脆弱性が指摘された「Acer Care Center」の問題を解決するアップデートを配信した(日本エイサー株式会社のお知らせ)。

DELLは「現時点において当社の顧客がこの問題の影響を受けることはない」という旨の声明を発表している(デル株式会社の声明)。Duo Labsが報告する前に、脆弱性を解決するアップデートをリリースしていたためだという。

ASUSは脆弱性を認めたが、まだ修正が完了していないもようだ。HPは、すでに脆弱性を修正しているとのこと。

12797952 story
Debian

Systemd、ログアウト時にバックグラウンドプロセスをkillするよう既定値を変更へ 82

ストーリー by hylom
知らずに悲劇が発生する予感 部門より
Ryo.F 曰く、

Debianのバグトラッカによると、/etc/systemd/logind.confで設定できる「KillUserProcesses」の既定値が「no」から「yes」に変更されたようだ(Slashdot)。

たとえばsshで接続してscreenやtmuxで作業し、デタッチ・ログアウトしてしばらく経ってから作業結果を確認、といった作業で悲劇が起こる可能性が。

なぜこうなった……。

KillUserProcessesの値が「yes」に設定されていると、ログアウト時にsystemdが自動的にユーザーのバックグラウンドプロセスを削除するようになる。それによってこのような問題が発生するようになるという。

12792801 story
セキュリティ

雑音で盗聴を防ぐ盗聴妨害器 40

ストーリー by hylom
糸電話で話そう 部門より

「盗聴器は発見するよりも妨害するほうが早い」という話がラジオライフ.comで紹介されている。そのため、「盗聴妨害機」なるものが販売されているそうだ。

この盗聴妨害機「TB-2000」は、スピーカーから人間の音声帯域をカバーする妨害音を出すことで盗聴を阻止するというデバイス。女性の声および男性の声に適した妨害音を鳴らせるそうだ。

また、壁に直接マイクを当てて隣室の会話を聞く「コンクリートマイク」に特化した妨害音発生器もあるそうだ。この製品「TBX-1000」は、壁に接触させた状態でスイッチを入れることでノイズを発するとともに振動してコンクリート越しでの盗聴を妨害するという。

12788109 story
バグ

Apple、文鎮化問題が発生した9.7インチiPad Proに対するiOS 9.3.2の提供を一時中止 62

ストーリー by headless
中止 部門より
Appleは20日、9.7インチiPad Proに対するiOS 9.3.2の提供を一時中止した(iMoreの記事Neowinの記事9to5Macの記事MacRumorsの記事)。

16日にリリースされたiOS 9.3.2では、9.7インチiPad Proの一部でアップデートによる文鎮化が発生していた。影響を受けた9.7インチiPad Proでは復元のためにiTunesへの接続を求めるメッセージが表示されるのだが、iTunesに接続するとエラー「56」が表示されて復元は行われないという。

今年初めにはTouch IDをAppleの正規サービス以外で交換した端末で、iOSをアップデートすると発生するエラー53が話題となったが、エラー56はまた別のハードウェア関係のエラーとされている。3月にリリースされたiOS 9.3では古いデバイスでアップデート後にアクティベーションできなくなる問題も発生している。

iOS 9.3.2は1か月以上にわたってベータテストが行われ、4つのベータ版が提供されていたが、問題はその間発生していなかったようだ。この問題についてAppleでは、なるべく早く修正版を提供すべく作業を進めているとのことだ。
12782020 story
ソフトウェア

Apple Musicでのローカルファイル削除問題、AppleはiTunesのアップデートで対策予定 29

ストーリー by hylom
バグなのか仕様なのか 部門より
headless 曰く、

Apple Musicでローカルファイルが削除される問題について、Appleは今週リリース予定のiTunesのアップデートで対策を行うそうだ(iMoreMacRumorsThe Next WebThe Verge)。

ただし、Appleでは問題を再現できていないとのことで、原因も明らかになっていない。iTunesのアップデートには追加の安全策が含まれるとのことだが、実際にAppleが原因を把握しているのかどうかは不明なため、実際にアップデートで問題が解消するのかどうかも不明だ。Appleはユーザーに対し、同様の問題に遭遇したらAppleCareに連絡するよう求めている。

12779808 story
バグ

7-Zipで任意コード実行が可能となる2件の脆弱性 39

ストーリー by headless
発見 部門より
オープンソースの高圧縮ファイルアーカイバ―「7-Zip」で、任意コード実行が可能となる2件の脆弱性が発見された(Cisco Talos Blogの記事The Registerの記事)。

TALOS-2016-0094 (CVE-2016-2335)はUDFファイルの処理における領域外メモリ参照の脆弱性だ。UDFボリュームでは複数のパーティションマップを保持できるが、7-Zipでは利用可能なパーティションマップオブジェクトの数よりもLong Allocation Descripterから取得した「PartitionRef」フィールドの値が大きいかどうかを確認しない。そのため、Long Allocation Descripterを細工することで領域外メモリ参照を引き起こし、任意のコード実行が可能になるという。

TALOS-2016-0093 (CVE-2016-2334)はHFS+ファイルシステムにzlib圧縮で格納されたファイルの処理におけるヒープオーバーフローの脆弱性だ。HFS+ファイルシステムでzlibを用いて圧縮したファイルを格納するとき、圧縮後のサイズが3,800バイトを超える場合は複数のブロックに分割される。しかし、7-Zipで伸長を行う際、読み込んだブロックを格納する静的サイズのバッファーよりもブロックのサイズが大きいかどうかを確認しない。そのため、バッファーよりも大きくなるように細工したブロックを用いることで、バッファーオーバーフローに続いてヒープ破損を引き起こし、任意のコード実行が可能になるとのこと。

これらの脆弱性は最新版の7-Zip 16.00で修正されており、ユーザーは早期の更新が推奨される。ただし、7-Zipはさまざまな製品で利用されているため、Cisco Talosでは脆弱性を含むライブラリを使用していることにベンダーが気付きにくいといった問題も指摘している。
12773340 story
バグ

「Apple Music」ではローカルに保存されていた音楽ファイルが削除される? 55

ストーリー by hylom
あと勝手にタグ情報を書き換えるのもやめてほしい 部門より

米国在住のとある男性が「Apple Musicを使っていたら、自分で作曲したオリジナル曲を含む122GB分の楽曲がHDDから削除された」と主張しているITmediaTheloopSlashdot)。

Appleの定額音楽配信サービス「Apple Music」を利用する場合、「iCloudミュージックライブラリ」機能を有効にすると自分のiTunesライブラリ内に登録されている楽曲がiCloudにアップロードされるとともにマッチングが行われ、Apple Musicで提供している楽曲についてはアップロードされたファイルがAppleが提供するDRM付きの楽曲ファイルに置き換えられる。この際、ローカルのファイルはユーザーによる操作が無い限りは削除されないとされているのだが、何らかのミスでファイルが削除されてしまったり、ライブ版などのAppleが提供するものとは異なるバージョンの音源が別のものに置き換えられてしまった模様。

過去にも、同様にCDからリッピングしていた音楽ファイルがiTunes Matchの利用によって削除されてしまうという問題は発生していた。

12772664 story
マイクロソフト

Microsoft、一部の更新プログラムについてダウンロードセンターでの公開を中止する方針 28

ストーリー by headless
手間 部門より
Microsoftは4月29日、更新プログラムの一部についてMicrosoftダウンロードセンターでの公開を行わない方針を明らかにした(TechNet blog — MSRCの記事Neowinの記事Softpediaの記事)。

これまでMicrosoftでは、更新プログラムをWindows Updateで提供するほか、MicrosoftダウンロードセンターWindows Updateカタログからダウンロードできるようにしていた。今後、一部の更新プログラムについてはWindows Updateカタログからのみダウンロードできるようになるという。また、セキュリティ情報には更新プログラムのダウンロードリンクが用意されているが、ダウンロードセンターで公開されない更新プログラムについてはWindows Updateカタログへのリンクに変更されるとのことだ。
12769895 story
バグ

東北・上越・北陸新幹線の全44駅で電光掲示板が終日ダウン(復旧済み) 71

ストーリー by headless
足りねー 部門より
東北・上越・北陸新幹線の全44駅で4日、行先や発車番線などを案内する電光掲示板「新幹線旅客案内装置」でシステムトラブルが発生し、終日案内情報が表示されない状態になったそうだ。運行自体は問題なく、各駅では手書きの案内や駅員の増員で対応したとのこと(NHKニュースの記事毎日新聞の記事日本経済新聞の記事YOMIURI ONLINEの記事)。

maia 曰く、

原因は、システムで設定された運行本数の上限が2日間の合計で1,600本のところ、5月3日~4日は臨時列車を含めて計1,606本あったためだという。駅員を増やしたりアナログな案内を強化したおかげで、大きな混乱はなかったとのこと。

なお、案内装置のトラブルは5日朝までに解消しており、5日は始発から正常に動作しているそうだ(毎日新聞の記事)。

12767629 story
バグ

マイナンバーカード管理システム障害の原因が判明 93

ストーリー by hylom
いまいち詳細が見えない発表 部門より

マイナンバーカード管理システムで不具合が発生していたことはすでに報じられているが、これら障害の原因が明らかになったという( 日経ITpro)。

原因は2つあり、1つは「暗号化・復号化を行うデバイスとの連携処理」と「ハードウェア監視ツールからCPUへの状態確認処理」が同一コアで行われると、暗号化・復号化デバイスとの連携処理が止まるというもの。もう1つは業務アプリケーションにおけるタイムアウト処理のタイミングによっては確保していないメモリを解放しようとし、アプリケーションが異常終了されるというものとのこと。

また、処理実行時のスレッド名が極端に長くなり、ログファイルへの出力処理に時間を要するという問題もあったという。すでにこれら問題は対処されており、またカード管理業務サーバーのメモリ割当量についても512MBから2GBに拡張したとのこと。

12767524 story
バグ

Microsoft、Office 365の脆弱性を報告から7時間で修正していた 19

ストーリー by hylom
クラウドならでは 部門より
headless 曰く、

Office 365のSAML(Security Assertion Markup Language)サービスプロバイダーにクロスドメイン認証のバイパスが可能な脆弱性が発見されたのだが、Microsoftでは報告から7時間以内に対策を行い、更新をロールアウトしたそうだ(BetaNewsThreatpostTechRadarSoftpedia)。

脆弱性を発見したのは、スロベニア・Šola prihodnosti MariborKlemen Bratec氏とギリシャ・Greek Research and Technology Network (GRNET)のIoannis Kakavas氏。Šola prihodnosti Mariborの提供するAAI365ソリューションを用い、Office 365をGRNET AAI Federationのサービスプロバイダーとして追加しようとした際に気付いたという。

問題はOffice 365のSAML 2.0実装に関するもの。認証時のチェックが適切に行われないため、攻撃用のOffice 365ドメイン上で作成した攻撃対象ドメインのユーザーアカウントを使い、攻撃対象ドメインにログイン可能となる。

SAMLはクロスドメインでのシングルサインオンが主な用途で、Office 365のシングルサインオンでSAMLはあまり使われていないため、影響は小さいと当初考えられていた。しかし、SAML 2.0メッセージがWS-Trustメッセージに変換されるため、Active Directory Federation Services(フェデレーション)を使用するすべてのドメインにも同じ方法で攻撃できることが判明した。

Office.comで導入事例として紹介されている企業をBratec氏とKakavas氏が調べたところ、日本航空やシカゴ市、ジョージア州立大学などでフェデレーションが使われていることが判明したという。導入事例で紹介されている以外にも、Microsoftを含む多くの企業でフェデレーションの使用が確認されたとのこと。

Bratec氏とKakavas氏が脆弱性を発見したのは昨年12月。詳細を確認後、1月5日にMicrosoftへ報告したところ、その日のうちに対策がとられたという。2月24日には情報の公開を許可されており、2人は詳細を共同で記事にまとめ、4月27日にそれぞれのブログへ投稿している。

typodupeerror

目玉の数さえ十分あれば、どんなバグも深刻ではない -- Eric Raymond

読み込み中...