こちらは、ayokuraさんのユーザページですよ。 アナウンス:スラドとOSDNは受け入れ先を募集中です。
Chromeも1/23リリースの次のバージョンから高精度タイマーの精度下げるようですね
https://www.chromium.org/Home/chromium-security/ssca
EdgeとIEも同様の対応をすませたもよう。
https://blogs.windows.com/msedgedev/2018/01/03/speculative-execution-mitigations-microsoft-edge-internet-explorer/#guZS4P5qp126E3Bd.97
また、三ブラウザ共に SharedArrayBuffer (EdgeではFall Creators Updateで実装した新機能)を無効化する、ようです。
SharedArrayBuffer はmozillaのブログによれば闇に葬るのではなく、また有効化可能にできるよう頑張るみたい
https://meltdownattack.com
Spectre: bounds check bypass (CVE-2017-5753), branch target injection (CVE-2017-5715)
Meltdown: rogue data cache load (CVE-2017-5754)
影響範囲は分岐予測機能を持つプロセッサの多く。MeltdownについてはIntelプロセッサの広い範囲、Spectreについてはx86互換プロセッサおよびARMプロセッサを含む広い範囲が影響される。デスクトップ、サーバ、モバイルなど幅広い利用形態に影響し、ウェブブラウザを通した攻撃の可能性も議論されている。Meltdownが優先して対策されており、VPS各社は緩和策を適用するためのVM再起動を進めているが、コンテキストスイッチの頻度により最大で35%程度のパフォーマンス低下を招くとの報道もある。
ここまでリスクを負ってOLEDにしないといかんのかねぇ
https://www.theverge.com/2017/10/22/16518298/google-investigating-pixel-2-xl-screen-burn-in
ちなみにGalaxy S8も
https://www.reddit.com/r/GalaxyS8/comments/686rol/bottom_row_burned_in_already/
米国が実施している旅客機客室内への電子機器持ち込み制限について、欧州出発便にも拡大される可能性をThe Guardianが報じている(The Guardianの記事、 9to5Macの記事、 The Next Webの記事)。
The Guardianの情報提供者によると、米政府は英国出発便についても制限の適用を検討しているという。英当局では、米政府が欧州出発便への拡大を検討中とみているようだ。また、英政府関係者は英国出発便が対象になるかどうかは不明としつつ、米国が制限の拡大を検討していることを示唆したとのこと。一方、米国土安全保障省では制限の拡大について決定していることはないと述べているとのことだ。
電子機器の客室内持ち込み制限が現在実施されているのは、米航空会社運航便を除くエジプト、ヨルダン、クウエート、モロッコ、カタール、トルコ、サウジアラビア、アラブ首長国連邦(UAE)の8か国。スマートフォンよりも大きな電子機器が対象となっている。これらの国は、1月にドナルド・トランプ大統領が入国制限を行おうとした中東6か国とは異なる。
一方、英国ではトルコ、レバノン、ヨルダン、エジプト、チュニジア、サウジアラビアの6か国から英国への直行便について、16㎝×9.3cm×1.5cmを超える大きさの電子機器の客室内持ち込みを禁じている。こちらは英航空会社の運航便も対象だ。
米国の電子機器持ち込み制限が欧州出発便にも拡大される場合、米航空会社の運航便が少ない中東からの直行便とは異なり、米航空会社も対象になる可能性もある。
Apache Struts 2の脆弱性を狙った攻撃でクレジットカード情報を流出させ、一時停止されていた「都税クレジットカードお支払サイト」が復旧した(ITmedia)。しかし、今度はこのサイトが新たに「https://zei.metro.tokyo.lg.jp/」というドメインを利用することになっている点や表記などが不正確である旨が批判されている(セキュリティ研究者・高木浩光氏によるTogetterまとめ)。
lg.jpは地方公共団体を対象としたドメイン(JPRSの説明)。このドメインを登録できるのは地方公共団体とそれらの組織が行う行政サービスのみとされている。を運営するのはトヨタファイナンスであり、地方公共団体ではない。また、問題の都税クレジットカードお支払サイトにアクセスすると組織名として「東京都」として表示されるようにもなっている。
特に大きな問題点として、情報の取得主体が誰なのかが不明瞭になっている点がある。さらに、個人情報保護法の義務である「利用目的の公表」をしていないとも指摘されている。なお、このサイトは都が運用をトヨタファイナンスに委託しているものではなく、トヨタファイナンス自体が運営主体である。
理研の研究グループが発見した第113番元素の名称が「ニホニウム」に決定した。今回、国際純正・応用化学連合(IUPAC)が発表したもの。
この元素については海外の研究者も発見を主張しており、命名権がどこに与えられるかが議論されていたが、昨年12月に日本の研究グループに命名権が与えられることが決定した。
セイコーエプソンとエプソン販売が使用済みのコピー用紙から新たな紙を生成するオフィス製紙機「PaperLab A-8000」を発表した。12月から順次発売するという。
製紙に通常必要とされる水を一切使わず、紙を繊維状に粉砕し、粉状の結合素材を混ぜて新しい紙に生成するとのこと。粉状の結合素材は消耗品で、プリンタインクのように交換でき、紙を白くしたり色を付けたりすることも可能だという。また紙の厚さも変えられるとのこと。使用済みの紙を繊維状にまで分解するので、セキュリティ面での利点もある。
気になるお値段は、実売予想価格2000万円台前半(税別)とのこと。エコにはお金がかかりますなあ……。
MySQLに複数の深刻な脆弱性が発見されている。 http://seclists.org/oss-sec/2016/q3/481 中でもCVE-2016-6662については、LD_PRELOADを使った攻撃となっており、 rootで動作しないはずのMySQLでroot権限を奪取できる危険性があるという。The exploitation is interesting in the way that it involves an oldschool LD_PRELOAD environment variable and that it targets a service that doesn't serve requests as root but could still be tricked to get root RCE when restarted. Might give you strange feelings when restarting mysql service the next time ;)
http://legalhackers.com/advisories/MySQL-Exploit-Remote-Root-Code-Execution-Privesc-CVE-2016-6662.html mysqld_safeラッパースクリプトを使用せずsystemdで直接起動している場合は、 影響ないかもしれないし、 どこかでラッパーを使用していて脆弱かもしれない。 また、未公開のCVE-2016-6663を使うと容易にFILE権限が取れるらしい。
VII. BUSINESS IMPACT
-------------------------
As discussed above the vulnerability could be exploited by attackers with both
privileged and unprivileged (with FILE privilege only) access to mysql accounts.
It could also be combined with CVE-2016-6663 vulnerability which will be released
shortly and could allow certain attackers to escalate their privileges to root
even without FILE privilege.
The vulnerability could also be exploited via an SQL injection vector, which
removes the need for the attackers to have direct mysql connection and increases
the risk of exploitation.
Successful exploitation could gain a attacker a remote shell with root privileges
which would allow them to fully compromise the remote system.
If exploited, the malicious code would run as soon as MySQL daemon gets
restarted. MySQL service restart could happen for a number of reasons.
VIII. SYSTEMS AFFECTED
-------------------------
All MySQL versions from the oldest versions to the latest shown at the beginnig
of this advisory.
Some systems run MySQL via Systemd and provide direct startup path to mysqld
daemon instead of using mysqld_safe wrapper script. These systems however are
also at risk as mysqld_safe may be called on update by the installation scripts
or some other system services.
Because the exploit only accesses files normally used by MySQL server (
such as the config), and the injected library is preloaded by mysqld_safe startup
scripta not included within the default policies, the vulnerability can be
exploited even if security modules as SELinux and AppArmor are installed with
active security policies for the MySQL daemon.http://qiita.com/yoku0825/items/dcdffae9e95658d86502 影響範囲などを個人的に調査している人もいる。
Windows 10のver1511だと普通のEnterpriseでも結構ロックダウン周りが使えるようになっているので、LTSBが使いたくないときはそっちを使えばいいのではないかなとか思っています。
詳しく調べたら違うのかもですが。
12月4日にNASAの新型有人宇宙船「Orion」が初の試験飛行を行う予定。ネット中継も行われる予定(放送スケジュール等はこちら)。オリオンはカプセル型で、最大6人。4人乗りの状態なら21日間飛び続けることができる。4日のテストは無人で行われ、宇宙環境でのシステムの検証や大気圏内への高速再突入実験などが行われる(Houston Chronicle、SPACE.COM、CNN、slashdot)。
約4時間半の試験飛行で高度約5800キロまで上昇し、地球を2回周回する予定。メキシコ北部のバハ・カリフォルニア州の沖約960キロの太平洋上に帰還し、米海軍艦2隻が回収に当たることになっている。
目玉の数さえ十分あれば、どんなバグも深刻ではない -- Eric Raymond