Microsoftはセキュリティ脆弱性として報告されたバグをセキュリティ脆弱性ではないなどの理由で修正しないこともあるが、AppleやGoogleが3月に修正したのに対し、Microsoftだけが修正しなかったという脆弱性をCiscoのTalosグループが公表した(Talosのブログ記事、 TALOS-2017-0306、 The Registerの記事)。

脆弱性はApple SafariやGoogle Chrome、Microsoft Edgeでコンテンツセキュリティポリシー(CSP)のバイパスが可能になるというもの。攻撃の流れとしてはContent-Security-Policy HTTPヘッダーで「'unsafe-inline'」を有効にし、「window.open()」で空のドキュメント(about:blank)を開く。新しいドキュメントは元のドキュメントと同一生成元だが、CSPが無効化されるため、「document.write」関数でコードを書き込めば同一生成元ポリシーを無視して他のWebサイトからデータを読み取ることができる。

Talosでは脆弱性を発見後、2016年11月29日にMicrosoftに通知したが、Microsoftは今年3月に仕様であり、脆弱性ではないと回答。Talosは再考を促したものの、修正の予定はないとの回答を受けて9月6日に脆弱性を公表した。一方、AppleはiOS 10.3およびSafari 10.1で修正済み(CVE-2017-2419)、GoogleもChrome 57.0.2987.98で修正済み(CVE-2017-5033)だ。'unsafe-inline'によるインラインスクリプトの有効化が問題とする見方もあるが、どのような場合でもクロスサイトアクセスはブロックすべきであるとTalosは主張する。なお、Mozilla Firefoxでは新しいドキュメントが元のドキュメントからCSPを継承するため、同様の問題は発生しなかったとのことだ。

GoogleによるHTCのスマートフォン部門買収の可能性が報じられている(工商時報の記事、 DIGITIMESの記事、 9to5Googleの記事、 The Registerの記事)。

台湾紙・工商時報によれば、Googleは戦略的パートナーとしてHTCに投資するか、HTCのスマートフォン研究開発チームを買収するか、という2つのオプションでHTCと交渉を進めているという。交渉は最終段階に入っており、遅くとも年末までに結論が出るとのこと。

HTCについては、8月にVR事業または会社全体の売却を検討しているとBloombergが報じている。BloombergはVR事業の売却先候補としてGoogleを挙げていたが、今回の交渉ではVR事業や会社全体の売却は含まれていないそうだ。

HTCの身売り話はたびたび噂になっており、今回も噂に終わる可能性もある。VR事業買収よりは現実的な話にもみえるが、どうなるだろうか。

あるAnonymous Coward 曰く、

日立製作所が英国で建設を予定している原子力発電所について、この事業に向けた銀行からの融資数千億円を政府が全額保証する方針で検討しているという(テレ朝Newsの記事)。

日立による英国での原発建設については、昨年12月に日英政府が包括的な協力を行う覚書を結んでおり、政府が1兆円規模の支援を行うことも報じられている。しかし、東芝が米国での原子力事業で大きな損害を出したこともあり、懸念の声も大きい。

また、日立はリスクを最小限にとどめる戦略を明らかにしており、「英原発事業の財務リスクを丸抱えせざるを得ない場合は計画を撤回する」とのことだ。

本件について世耕経済産業大臣は方針を決定した事実はないと述べているが、2日付の日本経済新聞では日本のメガバンクが融資する資金について政府が日本貿易保険(NEXI)を通じて全額保証すると報じている。

Microsoftの更新情報には特に記載がなく、最近まで気付かなかったのだが、Windows 10 Insider PreviewビルドのInternet Explorer(IE) 11ではツールバーに専用の検索ボックスが復活している。


Windows 10 Insider PreviewのIE 11に追加された検索ボックス

検索ボックスはIE 7で導入されたが、IE 9でアドレスボックスに統合されていた。現在のところInsider PreviewのIE 11ではアドレスボックスに統合された検索ボックス機能も残っており、検索プロバイダーの選択も可能だが、アドレスボックスの虫眼鏡アイコンは削除されている。なお、検索ボックスは「別の行にタブを表示」オプションがオンの場合にのみ表示され、オフにすると表示されなくなる。

20kHz以上の超音波を用い、人の耳に聞こえないボイスコマンドでデジタルアシスタントデバイスを操作して攻撃する研究の成果を中国・浙江大学の研究チームが発表した(論文: PDF、 The Vergeの記事、 BetaNewsの記事、 The Registerの記事)。

オーディオ機能をサポートする多くのデバイスではLPFにより20kHz以上の周波数帯域がカットされることから、超音波での操作は困難と考えられていた。超音波をデバイスが受信できるとしても、実際の人の声と異なる信号をコマンドとして認識できるのか、ユーザーの声を識別するデバイスをアクティベートできるのかといった点も問題となる。

「DolphinAttack」と名付けられた攻撃では、周波数20kHz以上のキャリア信号をボイスコマンドの音声信号でAM変調した信号を用いる。この信号を超音波スピーカーから出力してデバイスのマイクに入力すると、アナログ回路の非直線性によりADCへ入力するまでに元の音声信号が復調されてしまうのだという。

WhatsAppは5日、確認済み企業アカウントなど企業向けサービスの提供計画を発表した(WhatsAppブログの記事、 VentureBeatの記事、 The Next Webの記事、 Fox Businessの記事)。

確認済み企業アカウントについては先週、FAQページで存在が発見されていたが、正式な発表は行われていなかった。確認済み企業アカウントはFacebookやTwitterなどの確認済みアカウントと同様のもので、アカウント名に並んでチェックマークの入った緑色のバッジが表示されるというものだ。企業が顧客との連絡にWhatsAppを使用するケースも多いようだが、確認済み企業アカウントの導入により、顧客は企業の公式なアカウントであることを確認できるようになる。新たに追加された別のFAQページによれば、確認済み企業アカウントは既に限定的なテストが開始されているようだ。

確認済み企業アカウントのほか、小さな企業向けには無料アプリ「WhatsApp Business」、航空会社や電子商取引、銀行など世界規模でサービスを行う大企業向けには企業向けソリューションを提供する計画もあるという。WhatsApp COOのMatt Idema氏はFox Businessに対し、将来的に企業向けサービスで課金を行う計画があることも明らかにしている。ただし、具体的な計画については未定とのことだ。

Facebookが広告主向けのAdverts Managerツールで説明しているリーチ人数が人口よりも多いことが指摘されている(BetaNewsの記事、 Fortuneの記事、 CNBCの記事、 The Guardianの記事)。

Pivotal Research Groupのアナリストによれば、ツールは米国で4,100万人の18～24歳、6,000万人の25～34歳、6,100万人の35～49歳にリーチできると説明しているそうだ。しかし、米国の昨年の国勢調査データでは18～24歳は3,100万人、25～34歳は4,500万人、35～49歳は6,100万人とのこと。

Fortuneが確認したところ、ツールは英国で580万人の20～24歳、640万人の25～29歳、520万人の30～34歳にリーチできると説明しているという。一方、英国で2011年に実施された国勢調査ではそれぞれ430万人、430万人、410万人。カナダでも320万人の20～24歳、340万人の25～29歳にリーチできるとの説明に対し、国勢調査データではそれぞれ220万人、230万人となっているそうだ。

これについてFacebookでは、ユーザーの振る舞いや人口構成、デバイスの位置情報などさまざまな要素を元にリーチ数を予測していると説明。予測値は指定された地域で広告を見る可能性のある人数を予測しているのであり、実際の人口や国勢調査と一致させることを目的とはしていない、などと述べているとのことだ。

11年前にLinux版のFirefox 2で報告された奇妙なバグがFirefox 57で修正されるそうだ(Bug 366945、 Phoronixの記事)。

このバグはWebページ内の何もない場所をマウスの中ボタンでクリックすると、クリップボードの内容をURLとして開いてしまうというもの。11年前の報告者は、リンクの中ボタンクリックが少し外れると「404 not found」が表示されることになると述べていた。また、Konquerorではクリップボードの内容が有効なURLであるかどうかがチェックされるのに対し、Firefoxではチェックが行われない点も報告者は指摘している。

このような現象が発生する原因は当初からabout:config の「middlemouse.contentLoadURL」がUNIXライクシステムのデフォルトで「true」になっていることが原因と指摘されており、Firefox 3でデフォルトを「false」にするよう求めるコメントもみられる。その後も同様のバグがたびたび報告され、修正を要望するコメントもたびたび付けられていた。それでも修正は行われずに放置されていたが、9月5日になってUNIXおよびAndroidで「middlemouse.contentLoadURL」のデフォルトを「false」にするパッチがコミットされ、Firefox 57で修正されることとなった。

tori_sanpo 曰く、

冥王星の地形名が正式に承認されました。「はやぶさ大地 (Hayabusa Terra)」も含まれています(プレスリリース)。

Hayabusa Terraは世界で初めて小惑星からサンプルを採取して地球に帰還した日本の小惑星探査機「はやぶさ」をたたえて命名された。このほか、宇宙機から名前をとった地名としては、1957年にソ連が打ち上げた世界初の人工衛星 スプートニク1号にちなむ「Sputnik Planitia」、1977年に打ち上げられたNASAのボイジャー1号・2号にちなむ「Voyager Terra」がある。また、冥王星の発見者クライド・トンボーにちなんだ「Tombaugh Regio」や、「Pluto」という名前を提案したヴェネチア・バーニーにちなむ「Burney crater」といった名称もみられる。

メジャーリーグのボストン・レッドソックスが試合中にApple Watchを使用して不正行為を行っていたとして、ニューヨーク・ヤンキースがコミッショナー事務局に申し立てを行ったそうだ(The New York Timesの記事、 The Vergeの記事、 VentureBeatの記事、 Ars Technicaの記事)。

ヤンキースがコミッショナー事務局に提出したビデオでは、ベンチでApple Watchを見ていたトレーナーがベンチ入りしている選手にメッセージを伝え、その選手がバッターボックスの選手に合図を送って次の投球の内容を知らせる様子が確認できるという。ヤンキースは長らく、レッドソックスが本拠地のフェンウェイ・パークで相手チームの捕手が出すサインを盗んでいると疑っていたようだ。

MLB規則では捕手のサインを肉眼で見て読み取ることは禁じられていないが、双眼鏡や電子機器を使用することは禁じられている。調査に対し、レッドソックス側はビデオリプレイを確認する担当者からの連絡をトレーナーがApple Watchで受けて選手に伝えていたことを認める一方、ヤンキースが関連会社のテレビ局「YES」がサインを盗むために専用のカメラを設置しているとの申し立てを行ったそうだ。

MLBコミッショナーは双方の申し立てについて調査を行うとし、このような不正を処罰する権限がコミッショナーにはあると述べているという。ただし、過去にこのような問題で処罰が行われたことはないといい、その理由として不正行為による実際の試合結果への影響をはかるのが非常に困難な点を指摘しているとのことだ。

チョコレート・ココア製品を製造するスイスのBarry Callebautは5日、ホワイトチョコレート以来80年ぶりの新タイプチョコレートという「ルビー(Ruby)」を発表した(ニュースリリース、 Consumeristの記事、 FOODBEASTの記事、 CNBCの記事)。

ルビーチョコレートの原料となるルビーカカオ豆はベリーのような風味と赤い色が特徴だという。そのため、ベリーやベリーフレーバー、着色料などを添加することなく、ベリー風味でピンク色のチョコレートを実現できる。Barry Callebautでは何年もかけて研究を行い、ルビーチョコレートの開発に成功したそうだ。ルビーチョコレートはダークチョコレートとミルクチョコレート、ホワイトチョコレートに次ぐ、4種目のチョコレートになるとのこと。

なお、Barry Callebautの製品は消費者向けではなく食品業界向けのため、実際に消費者が入手可能になるのは6か月ほど先になると見込まれている。

あるAnonymous Coward曰く、

英国政府が進めているIT関連プロジェクトの8割が、プロジェクトに関わるフリーランスの撤退によって遅延しているという（Register、Slashdot）。

英国では、「偽装雇用」による課税逃れを防ぐために「IR35」という制度が導入されているそうだ。英国でこの制度の適用が厳密になった結果フリーランスが支払う税金が増え、その結果プロジェクトから降りるフリーランスが増えたという。

ただ、フリーランスの「脱落」は予想されていたよりは少なかったとのことで、また賃金の割り増しを要求しているフリーランスもいるという。

この影響で、政府のITプログラムの4分の1が危険に陥っているという。この中には英国の歳入税関庁の2億2,000万ポンド予算の税金プログラムや司法省の3億8千万ポンドの電子監視プログラムなどが含まれている模様。

2016年、「欧州人権裁判所、企業は従業員のメッセンジャーアプリの中身を見る権利があるとの判決を出す」という話題があった。勤務中に私用メッセージを送信したことを理由に解雇されたルーマニア人男性が企業を訴えていた裁判で、欧州人権裁判所（ECHR）が2016年に「雇用者が仕事上における従業員の活動を監視する権利を有する」という判断を下したというものだが、男性がこれに対し再審を請求、その結果大法廷での審理では男性の主張が認められたという（Reuters、AFP、Slashdot）。

この男性は10年前に仕事用のPCやYahoo Messengerのアカウントを家族との連絡に使っていたとして解雇されたという。企業側はアカウントを監視していることを従業員に伝えていなかったとのことで、そこが争点となったようだ。

男性はメッセージの監視によって、プライバシーが侵害されたと主張。EHCRはいったん男性の主張を退けたものの、その後男性は再審を請求、今回の判断が得られたという。

headless曰く、

Nielsen Norman Groupが実施した調査によれば、フラットUIデザインのWebページでは目的のリンクやボタンを見つけるのに時間がかかるようになり、無関係な部分に視線が向くことも多かったそうだ。調査は一般的なWebユーザー71名を対象に実施されたもので、アイトラッキングデバイスで視線の動きも記録している（Nielsen Norman Groupの記事、アイトラッキングの結果、The Register）。

フラットデザインはすっきりしてモダンな印象を与える一方、リンクやボタンが目立ちにくい傾向がある。調査では実在の6カテゴリー9件のWebページをベースにフラット版とクラシック版の2種類を用意し、合計18種類のWebページを使用。元のWebページがフラットデザインの場合、リンクテキストを青字で下線入りにしてボタンを立体的にするなどしたクラシック版、クラシックデザインの場合は逆にフラット版を作成している。

調査対象者にはフラット版かクラシック版、どちらか一方のWebページを見せ、目的のリンクやボタンを探すように指示が与えられる。たとえばホテルのWebページでは部屋を予約するのが目的だと説明し、クリックする場所が見つかったら知らせるように伝える。指示の内容を理解しやすいよう、事前の練習も行われたとのこと。

その結果、フラットデザインではクリックする場所を見つける時間が平均22%長くなり、ページ内で視線のとどまる場所は平均25%多くなったという。ただし、情報量の少ないページや、目的の要素がよくある位置に配置されているページ、周囲の要素とのコントラストが大きい、または離れているページでは大きな差が出なかったそうだ。

なお、調査対象者には集中して目的のクリック場所を探すよう指示しているため、現実のWebブラウズとは異なる。現実には目的の内容がそのページにあるとは限らず、ユーザーは他のページに移動するなどしてあちこち見て回ることになる。その結果、ユーザーが存在を知らなかった情報を得られることもある。今回の研究はフラットデザインのユーザビリティーの問題を調べるのが目的ではなく、ユーザーが個別のページでどのように操作するのかを調べるのが目的だったとのことだ。

masakun曰く、

日本時間9月6日17時51分に太陽の南西（右下）の2673黒点群でX2.2の大規模フレア（太陽面爆発）が、さらに20時52分にX9.3を記録したより激しい大規模フレアが発生した。X9に達するフレアは2006年12月5日のX9.0以来で11年ぶりであり、2008年12月に始まった第24期の太陽活動の中では過去最大のフレアとなる（宇宙天気ニュース、アストロアーツ）。

さらに21時ごろのX9.3フレアに伴いコロナ質量放出（CME）も起きた。すでに2673黒点群は太陽の西側にあるので噴出も右側に偏っているものの、プラズマの塊は太陽全体を囲むように見えるので地球の方向にも向かっているとみられる。

日本時間9月7日になってもMクラスの中規模フレアがすでに5回発生しており、今後の太陽活動も見逃せない。なお現在起きている太陽風の乱れは5日早朝に起きたM5.5の太陽フレアに伴うコロナ質量放出によるものだが、7日夜に起きたコロナ質量放出が地球に到達するのは8日以降とみられており、磁気嵐により人工衛星や無線通信に障害が出るかもしれない。

北朝鮮が豪語するはったり核ミサイルによるEMP攻撃（笑）なんかより、太陽の大規模フレアは注目すべき案件だろう。

なお、北朝鮮は9月9日に建国記念日を迎え、これに合わせて弾道ミサイルの発射を行う可能性があると言われていたが、今回の太陽フレアの影響を懸念してミサイル発射が延期される可能性もあるという（ブルームバーグ）。