セキュリティ企業Morphisecが、「Apple Software Update」ツールにゼロデイ脆弱性が存在し、これがランサムウェアによる攻撃に悪用されていたことを報告している。

このツールはWindows版のiTunesやiCloudに同梱されており、10月7日にリリースされたiTunes for Windows 12.10.1やiCloud 10.7、iCloud 7.14ではこの脆弱性が修正されているとのこと。

問題の脆弱性は「unquoted path vulnerability」（引用符で囲まれていないパス）の処理に関連するもので、悪意のあるユーザーがこれを悪用することで悪意のあるプログラムを実行させることができるという。また、Apple Software UpdateはiTunesなどをアンインストールしても残されるとのこと（別途アンインストール作業が必要となる）。そのため、多くのマシンにこのコンポーネントが存在している可能性があるという。

2016年3月よりサービスが開始されたV-Lowマルチメディア放送「i-dio」だが、FM放送局「TOKYO FM」を運営するエフエム東京がi-dio関連事業からの撤退する方針のようだ（AV Watch）。

エフエム東京では、i-dio関連事業の赤字を隠すために不適切な取引を行なっていたことが明らかになっている（過去記事）。同社のi-dio関連事業では計画通りの収益を計上できず、同社の投資能力では今後追加の投融資をすることは困難との結論に至ったとのこと。

「スギ薬局」を展開するドラッグストア業界6位のスギホールディングスでは、キャッシュレス決済の増加によって支払い手数料が大きく増加したという（日経ビジネス）。

同社の2019年3〜8月期決算で明かされたもの。スギ薬局ではSuicaなどの交通系ICカードやPayPayなどのQRコード決済が利用可能で、2019年3〜8月期のキャッシュレス決済比率は前年同期比で4.7％増の28％だったという。これによって支払い手数料は20億7,800万円から25億1,500万円に増加、売り上げに占める手数料の割合も0.9％から1％に増えたという。

JR山手線が、ホーム上に設置された電光掲示板での到着予定時刻表示を「約○分後」という形式での表示に切り替えるという（JR東日本の発表、鉄道新聞）。

深夜・早朝時間帯においては従来通り到着予定時刻での表示を行うとのこと。この変更は2019年11月から2020年7月までに順次行われる。

headless曰く、

カメラやレンズ、スマートフォンのカメラ機能のレビューを行なっているDxOMarkが、スマートフォンのレビュー項目としてオーディオ性能をテストする「DxOMark Audio」を追加した（DxOMarkの発表、The Next Web、SlashGear）。

DxOMark Audioでは再生と録音の2つのサブカテゴリーで、オーディオエンジニアとエキスパートによる専門のチームが客観評価と知覚評価を行う。知覚評価も一貫した結果となるように配慮されているとのこと。評価項目は音質を評価する「Timbre」、アタックやエンベロープ、SN比などを評価する「Dynamics」、空間の広がりやバランス、指向性などを評価する「Spatial」、音量を評価する「Volume」、原音に含まれないノイズや歪みなどを評価する「Artifacts」が録音・再生共通で、録音のみバックグラウンドノイズを評価する「Background」が追加される。

第一弾のテスト対象となったのは比較的大画面のスマートフォン7機種。トータルのスコアは1位からHuawei Mate 20 X（75点）、iPhone XS Max（74点）、iPhone 11 Pro Max（71点）、Galaxy Note10+（66点）、Galaxy S10+（65点）、Honor 20 Pro（53点）、Xperia 1（45点）の順になっている。カメラレビューが公開されていない3機種のうち、Mate 20 Xは画面サイズが大きい（7.2インチ）ため、iPhone 11 Pro Maxはカメラレビューが予告されているため選ばれたようだが、既にカメラレビューが公開されているGalaxy Note10+ 5Gではなく4GモデルのGalaxy Note10+が選ばれた理由は不明だ。

Mate 20 Xは7機種中唯一（単なる複数のマイクではない）ステレオマイクを搭載しているとのことで、録音のSpatial（68点）は項目別2位のXperia 1に8点差を付ける好成績となっている。ただし、他の項目は総合2位のiPhone XS Maxと大差なく、再生のサブスコア（76点）、録音のサブスコア（75点）ともに1点上回るのみ。iPhone 11 Pro Maxは録音のサブスコアが68点でiPhone XS Maxを1点下回るのみだが、再生のサブスコア（72点）では3点下回る。特に再生のSpacial（65点）では10点差を付けられている。端末をランドスケープに置いて音楽を再生する際にステレオのチャンネルが反転する問題もみられたという。

7機種のうち、Xperia 1のみ再生（39点）と録音（64点）の差が非常に大きくなっている。特に再生のSpatial（38点）ではモノラルスピーカーのHonor 20 Pro（26点）を上回ったものの、他の5機種（63点～75点）を大きく下回る。Xperia 1はDolby Atmosを搭載しているが、デフォルト無効のためこのような結果になったといい、有効にすると大きく改善したそうだ。DxOMarkはデフォルト設定のままテストを行うので機種独自の機能が評価対象外になることがある。たとえばGoogle Pixel 3のNight Sightモードは当初のカメラレビューで評価されず、テスト項目「Night」追加後の再レビューでようやく評価されている。

宇宙空間で人工衛星に対する燃料補給を行う試みが行われる（TechCrunch、Engadget日本版）。

今回行われるのは、静止衛星のミッション寿命を延長するための燃料補給サービスを提供するための実証試験で、10月9日にプロトンMロケットで打ち上げられた「MEV-1」が使用される（宇宙技術開発）。この試験では、運用を終えた衛星を模擬したInterlsat-901衛星に対しMEV-1をドッキングさせ、MEV-1からの燃料補給や軌道制御を行う予定。補給されるのは5年分の燃料だそうで、さらにその後別の衛星への燃料補給も行う予定だという。MEVは現在静止軌道上にある人工衛星の80%に接続できるよう作られているそうだ。

Anonymous Coward曰く、

9月26日、Amazon.co.jpで他人の注文履歴や名前、住所、連絡先などが閲覧できてしまう不具合が発生していたが（過去記事）、これを受けて個人情報委員会が10月11日、同社に対し行政指導を行なった（日経新聞、CNET Japan）。

個人情報保護委員会の発表によると、別のユーザーに個人情報が表示された可能性のあるアカウントは約11万アカウントとのこと。個人情報保護委員会への報告が行われており、同委員会は再発防⽌策および利⽤者からの問い合わせへの対応を確実に履⾏するよう求めたとしている。

10月12日から13日にかけて本州に上陸した台風19号の影響で、さまざまな被害が出ている。maia曰く、

台風19号の影響で、長野市にある北陸新幹線の車両基地が浸水し、新幹線車両10編成が床付近まで水没した（NHK）。10編成は北陸新幹線の3分の1に相当する。修繕か廃車かは分からないが、10編成の新造費用は328億円だった（条件で変わると思われるので参考値）。なおハザードマップでは10mの浸水エリアだったそうだ。

また、多摩川に近い東京都市大学（旧 武蔵工業大学）世田谷キャンパス（玉堤1丁目）の図書館地下階が水没した。二子玉川駅近くで40cm浸水した下流の地点（朝日新聞）。図書館、美術館、博物館は災害対策が基本だと思うが、実態はそうでもないようだ。

さらに関東地方や東北地方では、47河川・66カ所の堤防の決壊が確認されている。なおNHKの調査によると、今回の台風による死者は全国で67人、行方不明者は15人に上っているという

KAMUI曰く、

韓国で1999年にサービスを開始し、韓国内で2,000万人を超えるユーザーがいたソーシャルネットワークサービスの「サイワールド」がアクセス不能になっている（東亜日報）。

韓国の財閥・SKグループのSKコミュニケーションズによって立ち上げられたサイワールドは米国や中国でもサービスを提供していた時期があり、2005年12月から2009年8月まで日本版も運営されていたが、2014年には分社化された後、韓国内でポータルサイトを運営する人物に売却されていた。しかし経営難による賃金未払いなどから今夏にはサーバー要員が退社してしまい、遂に今回の事態になった模様。

使用しているドメインcyworld.comも11月12日には失効してしまうが延長などの措置は取られていない。今回、閉鎖についての事前告知などもなかった為、利用者は「思い出の写真などを失った」として憤っているそうだ。

Anonymous Coward曰く、

米のユタ大学の研究者らが、厚さ10マイクロメートルという「マルチレベル回折レンズ（MDL）」を開発した。スマートフォンのカメラで使われているレンズと比べて重さは100分の1、厚さは1000分の1だという（GIGAZINE、Gizmodo、PNAS掲載論文、Slashdot）。

MDLは複数の円が集まった同心円状の構造をしており、その1つ1つが異なる反射角を持ち、光を屈折させて1点に収束させる仕組みだという。これは、太陽炉（≠GNドライブ）に近い構造だと言う。

先週、NTTドコモとKDDIが携帯電話・スマートフォンの新モデルを発表したが、シニア向け端末以外でワンセグチューナーを搭載するのは「Xperia 5」のみだそうだ（Engadget日本版）。

iPhoneやPixelシリーズは当初からワンセグに対応していないが、昨今ではシャープのAQUOSシリーズでも非対応のものが増えており（Engadget日本版の過去記事）、SamsungのGalaxyシリーズも今回はワンセグ非搭載となった。理由としては「ネットでの映像配信が増えているため」だという。

headless曰く、

2019年のノーベル経済学賞は、米国のアビジット・バナジー氏（インド生まれ）とエステル・デュフロ氏（フランス生まれ）およびマイケル・クレーマー氏が共同受賞した。授賞理由は世界的な貧困を軽減するための彼らの実験的アプローチ（プレスリリース、一般向け情報、詳細情報PDF）。

過去20年間、人々の生活水準は全世界で大きく向上したが、現在も7億人以上の人々が貧困に苦しんでいる。比較的安価で簡単な治療を受ければ回避できる病気により死亡する5歳未満の子供は毎年500万人を数え、世界の子供の半数は基本的な読み書きや計算を学ぶことができずにいる。

この問題に立ち向かうため3氏は問題を細分化し、それぞれの問題に対して考えられる対策とその効果を現場での実践により確かめていった。1990年代半ば、クレーマー氏は同僚とともにケニア西部の学校で不足しているさまざまなリソースを学校ごとにランダムに割り当てて提供する実験を行い、教育成果が向上しない原因はリソース不足ではないことを示す。クレーマー氏ともしばしば共同で研究を行っているバナジー氏とデュフロ氏は同様の研究をインドで実施し、補助教員による補習プログラムが短期的・中期的な効果をもたらすことを示した。

3氏は単純に特定の介入が効果を示すかどうかだけでなく、効果を示す理由についても研究しており、研究対象者による意思決定の原動力となる要素を調べるために2016年と2017年のノーベル経済学賞でそれぞれ授賞理由となった契約理論と行動経済学も取り入れている。現在、彼らの実験的な研究手法は開発経済学の主流になっているとのことだ。

sudoコマンドで、任意のユーザー権限でのコマンド実行を許可されているユーザーに対し、ルート権限で指定したコマンドを実行できてしまう脆弱性が確認された（sudo公式サイトでの脆弱性報告、サイオスセキュリティブログ）。

この脆弱性は、実行するユーザーを指定するsudoコマンドの「-u」オプションで「-1」もしくは「4294967295」を指定すると、そのユーザーIDではなくルート権限で指定したコマンドを実行できてしまうというもの。

任意のユーザーがルート権限を取得できるわけでは無く、sudoersなどの設定ファイルで「ALL」キーワードを使って任意のユーザー権限でのコマンド実行が許可されたユーザーのみがルート権限を奪取できる。実行できるコマンドが指定されていた場合はそのコマンドのみがルート権限で実行できる対象となる。

また、この際にログにはroot権限ではなく指定したユーザーID（-1もしくは4294967295）で実行されたものとして記録される。こうしたユーザーIDは存在しない為、PAMセッションモジュールも実行されない。

この問題を悪用することで、たとえば「＜ユーザー名＞ = (ALL, !root) ＜コマンド名＞」のようにroot以外のユーザーでsudoコマンドを利用できるように指定されていた場合に、本来は不可能なはずのroot権限でのコマンド実行が可能になってしまう。

Anonymous Coward曰く、

先日、米移民・関税執行局（ICE）とソフトウェアやサービスの提供契約を結んでいたChef社が批判される事件があったが（過去記事）、GitHubもICEに対しサービス提供契約を結んでいることから、GitHubの利用者や同社社員からこの契約を止めるよう求める声が出ているという（ITmedia、The Verge、recode）。

GitHubは10月9日、この問題について説明した従業員向けメールがリークされたことを受けて、このメールを公開して状況を説明した。ICEは2016年にGitHub Enterprise Serverを導入しており、リセラーを通じて更新が続けられているという。GitHubはICEがどのようにこのソフトウェアを利用しているかどうかについて関知していないと述べるとともに、国境での家族分断やイスラム教徒に対する入国禁止といったICEの一部の行動には問題があり、GitHubやその親会社のMicrosoftはこれらに対し反対する活動を行っているとしつつ、ICEは人身売買、児童搾取、テロ、移民犯罪、暴力、マネーロンダリング、知的財産権侵害、サイバー犯罪などと戦うための前線にもなっていると主張している。

GitHubの政府調達ポリシーはMicrosoftのものと同じでありICEとの取引は継続すること、またICEが支払っているライセンス料を超える50万ドルを移民関連の活動を行う非営利組織に寄付することも明かされている。

ICEとの取引に関しては、Microsoftも昨年6月にクラウドサービス（Azure Government）をICEに提供していることで批判されていた（過去記事）。

コクヨグループで通販を手がけるカウネットが、同人誌即売会参加者に向けた専用バッグと称する「コミケ用ミーティングバッグ」をクラウドファンディング形式で発売する（Impress Watch）。

同社はオフィス内で使用するためのミーティングバッグを販売しているが、これが同人誌即売会参加者に注目されたことをきっかけにTwitterなどで意見を募って開発を行い、最終製品をクラウドファンディングサイトMakuakeで販売することになったという。Makuakeでの販売は3,980円で100セットを予定していたが、10月15日の開始後すぐに完売する状況となっており、今後の方針を検討しているとのこと。