米国家安全保障局 (NSA) は 10 日、メモリ安全性の問題に対応するためのガイダンスを公開し、可能な限りメモリ安全なプログラミング言語を使用するよう推奨した (プレスリリース、 The Register の記事、 ガイダンス: PDF)。

Microsoft は 2019 年、過去 12 年間の Microsoft 製品の脆弱性は 70 % がメモリ安全性に起因すると述べており、Google も 2020 年に Chromium の重大な脆弱性の 70 % がメモリ安全性に起因すると述べていた。

広く使われているCやC++などの言語はメモリ管理の自由度が高い一方で、必要なメモリ参照の確認はプログラマーに強く依存する。ソフトウェア解析ツールを使用すればある程度の保護は可能になるが、メモリ安全な言語はそれ自体がメモリ管理の問題の多くに対応可能な保護機能を提供する。そのため、可能な場面ではメモリ安全な言語の使用が推奨されるとのこと。メモリ安全な言語の例としては、C#・Go・Java・Ruby・Rust・Swift が挙げられている。

Microsoft は 10 日、Windows 11 バージョン 22H2 (2022 Update) で一部のゲームやアプリのパフォーマンスが予想よりも低くなる問題を認め、該当環境に 22H2 のセーフガードホールドを適用した (Windows 11、バージョン 22H2 の既知の問題と通知、 Neowin の記事、 Windows Central の記事、 Ghacks の記事)。

22H2 はリリース当初から一部のゲームでのパフォーマンス大幅低下が報告されている。NVIDIA は 22H2 で追加された新しいグラフィックスデバッグツールが意図せず稼働することが原因だと指摘していたが、Microsoft は Windows 11 でゲームのパフォーマンスを最適化するにはセキュリティ機能の一部を無効化すればいいなどとお茶を濁していた。

今回 Microsoft はパフォーマンス低下の原因が GPU パフォーマンスのデバッギング機能であることをようやく認め、この機能は消費者の使用を想定していないが、影響を受けるゲームやアプリが意図せず有効化していたと説明。回避策としてゲームやゲームに関連するアプリのアップデートを紹介しつつ、22H2 の自動アップデートをブロックするセーフガードホールドを適用した。

現在 Microsoft では問題の解決に努めており、今後リリースする更新プログラムで修正を行う計画を示している。対象デバイスでは手動で 22H2 へのアップグレードを実行しないことが推奨される。

Tesla は 1 日、ファームウェア更新でパワーステアリングによる補助が低下または失われた可能性のある 2017 年 ～ 2021 年式 Model S と Model X およそ 4 万台のリコールを米運輸省道路交通安全局 (NHTSA) に報告した (リコール報告書: PDF、 The Register の記事)。

影響を受けるファームウェアバージョンは 2022.36 および 2022.36.4。Tesla は予期せぬステアリング補助のトルク検出を向上させるべく、10 月 11 日に幅広いロールアウトを開始した 2022.36 でパワーステアリングシステムのキャリブレーション値を更新。ところが 10 月 18 日には特定の Model S / Model X で更新されたキャリブレーション値に関連したアラートが増加する。道路の凹凸などを予期せぬステアリング補助のトルクとして検出することが原因で、ステアリング操作時にドライバーが力を入れる必要が出てくる。特に低速時に影響が大きく、事故のリスクが増加するという。

米国内で実際に影響を受けた可能性のある車両は 11 月 1 日時点で 314 台が特定されているが、これによる死傷者の発生は確認されていないとのこと。10 月 19 日にはキャリブレーション値を元に戻したファームウェアバージョン 2022.36.5 がリリースされており、11 月 1 日時点で対象車両の 97% に 2022.36.5 以降がインストール済み。2022.36.5 以降がインストールされた車両のオーナーは特に何もする必要はない。

Windows 8.1 の延長サポート終了とともに、Intel Clover Trail 搭載 PC に対する Windows 10 のサポートが 2023 年 1 月 10 日で終了する (Microsoft のサポート記事)。

これについて あるAnonymous Coward 曰く、

Clover Trail (Intel Atom Z2760/Z2520/Z2560/Z2580) 搭載 PC は Windows 10 Creators Update (バージョン1703) で画面表示が壊れる不具合が発生し、 Windows 10 Anniversary Update (バージョン1607) によるサポートが延長された。Windows 10 Home and Pro のライフライクルに本件は記載されていないが、非 LTSB / LTSC にも関わらず 6 年 5 か月強にわたってサポートが提供されるバージョンとなった。

当方はこの Anniversary Update にも対応する必要があり、動作検証の枷となっていたが、あと 2 か月でお別れ出来そうです。皆様の周囲では Clover Trail 採用 PC、まだ生き残っていますか？

Lenovo は 8 日、個人向けノート PC でセキュアブートを無効化可能な UEFI (BIOS) の脆弱性 3 件を公表した (セキュリティアドバイザリー、 ESET のツイート、 Neowin の記事、 Ars Technica の記事)。

発見した ESET によれば、3 件はいずれも UEFI の DXE ドライバーに存在する脆弱性で、管理者権限を持つ攻撃者が NVRAM 変数を変更することによりセキュアブート無効化などの設定変更が可能になるという。ESET が 4 月に公表した Lenovo の ノート PC の脆弱性と同様、今回の 3 件も製造プロセスでのみ使用することを目的としたドライバーを製品版に含めてしまったことが原因とのこと。

一方、Lenovo は CVE-2022-3430 を WMI Setup ドライバーの潜在的な脆弱性と説明しており、CVE-2022-3431 と CVE-2022-3432 では製造プロセスで使用するドライバーに潜在的な脆弱性が存在し、誤って無効化されなかったと説明している。

これらのうち CVE-2022-3430 または CVE-2022-3431(または両方)の影響を受けるのは国内未発売モデルを含めて計 54 製品。既に修正版ファームウェアアップデートが提供されており、適用すれば問題は解決する。CVE-2022-3432 は影響を受ける Ideapad Y700-14ISK の開発サポートが終了していることから修正版は提供されないとのことだ。

pongchang 曰く、

ニューイングランド医学誌の記事によると、高校でマスクをすれば SARS-CoV-2 (新型コロナウイルス) 感染者を減らす効果が期待できるようだ (論文、 NHK の記事)。

研究では BA.1 の流行が収まった 3 月にボストン周辺の高校での「マスク義務の終了」を受けて最初の週からマスク無しにしてもよくした学区、2 週目に解禁した学区、3 週目に解禁した学区、マスク義務を継続した 2 学区を比較。最初に解禁した学区では 5 月半ばの BA.5 のピークにおいて千人あたり 25 例程の新型コロナ感染者が出たのに対して、2 週・3 週目に解禁した学区では 15 例前後と少なく、マスク義務を続けた ２ 学区は 10 例に満たなかった。マスク義務化免除 15 週間の累計では、マスク義務を継続した 2 学区で千人あたり 66.1 例だったのに対して、義務免除した場合 134.4 例だった。これにより、マスク免除で増加した症例は生徒と教職員千人あたり 44.9 例 (95 % 信頼区間、32.6 - 57.1)と推計されるとのことだ。

なお、マスク免除は感染の可能性が低いと考えられる学区 (比較的新しく状態のいい校舎が多く、ワクチン接種率が高い) で実施されており、COVID-19 リスクの残差交絡がマスク免除の害の軽視につながったことを示唆するとのことだ。

ドイツの KFC が「Reichspogromnacht」を記念してチーズソースをかけたフライドチキンを食べよう、などと顧客にプッシュ通知したことを謝罪している (The Register の記事、 Bild の記事、 Newsweek の記事、 The Local の記事)。

プッシュ通知は KFC アプリを通じて送信されたものだ。Reichspogromnacht (帝国迫害の夜) は 1938 年 11 月 9 日から 10 日にかけてナチが行ったユダヤ人への迫害行為を指し、割れたガラスが水晶のように見えたことから「水晶の夜」とも呼ばれる。KFC アプリはその後、システムのエラーにより誤った不適切なメッセージが送信されたとして謝罪し、再発防止に努めると説明するメッセージをプッシュ通知したという。

KFC は Newsweek の質問に答え、半自動化されたシステムが (祝祭日とは限らない) 国家的行事を含むカレンダーからコンテンツを生成したが、内部のレビュープロセスが適切に行われずに不適切なメッセージを共有してしまったと説明したとのことだ。

COVID-19 パンデミックによるシステム管理者の仕事への影響について、ドイツのマックスプランク情報学研究所が 24 人への聞き取り調査の結果をまとめている (The Register の記事、 論文リポジトリ)。

24 人の国別内訳はオランダが 8 人と最も多く、ドイツが 3人、オーストリア・インド・ノルウェイが各 2人で続く。アジア圏はインドのみで、このほか米国とガーナを除くとすべて欧州となっている。一方、産業部門別では教育と IT が各 8 人で大半を占め、金融・研究が各 2 人で続く。勤務経験は 7 か月から 25 年まで幅広いが、10 年以上が 13 人と過半数を占め、中央値は 10 年となる。

調査の結果、システム管理者は他の人たちが仕事をできるようにするという任務から、危機下で他の業務とは異なるプレッシャーを感じていたことが判明したという。その一方で、自宅勤務では他の人が自分の仕事を待っているというプレッシャーが少ないという意見も聞かれたそうだ。

また、ロックダウン初期のシステム管理者はやってくる仕事のほとんどをただこなすだけだったが、その後は組織がロックダウン下での業務の方法を公式化していくことになる。その結果、調整は暗黙的なものから明示的なものに移り、意思疎通も自発的なものや偶然によるものから非同期なコミュニケーションや計画的なミーティングへ変わっていった。こういった変化はロックダウンにより推進されたと考えられるとのこと。

論文では調査結果を踏まえ、システム管理者の業務環境を改善するための推奨事項を 3 つ挙げている。

1. システム管理者の仕事を増やすだけの公式な仕事の形式を最小限にする
2. リモートワーク時の公式な調整の必要性を減らしつつ、システム管理者との共同作業を容易にするツールの導入
3. システム管理者にその仕事と責任に対する十分な権限を与える

スラドの皆さんのご意見はいかがだろうか。

Android の 2022-11-01 セキュリティパッチレベルでは、PIN ロックした SIM を使用してスクリーンロックをバイパス可能な脆弱性 CVE-2022-20465 が修正されている (9to5Google の記事、 Android Police の記事、 発見者のブログ記事、 Google Git)。

この脆弱性は PIN ロックされた SIM の PUK を入力して PIN を再設定し、端末のロックを解除するとスクリーンロックも解除されてしまうというものだ。攻撃者は PIN ロックした SIM を用意し、スクリーンロック解除失敗によりロックされた端末の SIM と交換する。端末再起動後、SIM の PIN を入力を 3 回間違えると PUK による PIN 変更が可能になるので、PUK を入力して新しい PIN を設定する。脆弱性のある状態ではこの段階でスクリーンロックが解除されるのだという。

発見者は Pixel 6 で脆弱性を確認しているが、AOSP では Android 13 ブランチのほか Android 10 ～ 12L ブランチにも修正がバックポートされており、他の機種やフォークした OS にも影響する可能性がある。Android Police によれば Lineage OS で脆弱性が報告されている一方、GrapheneOS では既に修正済みだという。また、Samsung の端末は影響を受けないという報告もみられるとのこと。手元のシャープ製端末 (Android 12、パッチレベルは 10 月) で試してみたが、PUK を入力して SIM の PIN を再設定するとスクリーンロック画面になった。操作を間違ったのでなければ影響を受けないようだ。

スイス・ジュネーブ警察がワシを使用するドローン撃退計画を中止したそうだ (The Register の記事、 Bloomberg の記事、 RTS の記事)。

国際会議がしばしば開催されるジュネーブでは、望ましくない場所を飛行するドローンを空中で取り押さえ、安全な場所に移動するワシ部隊を 2017 年に計画。2018 年の運用開始を目指し、購入したワシの卵2個を孵化させて鷹匠が訓練していたが、現場に投入されることなく計画が終了した。警察では 10 月末に計画の終了を決定しており、ドローン撃退に野生動物を使用することの不確実さや、ワシに危害が及ぶ可能性を理由として説明しているとのこと。

野生のワシによるドローンの撃墜はたびたび報じられているが、その習性を人間が利用するのは容易ではないようだ。オランダ警察もワシによるドローン捕獲を計画し、2016 年にはワシを各地に配備していたが、実際に活躍することなく 2017 年に計画を中止している。

Windows 10 バージョン 21H1 (May 2021 Update) のサービス終了を前に、Microsoft が再び注意喚起している (Windows メッセージセンターのアナウンス、 Windows IT Pro Blog の記事、 Neowin の記事、 Ghacks の記事)。

21H1 は 12 月 13 日の月例更新ですべてのエディションのサービスが終了する。Microsoft はサービス終了に関するサポートドキュメントを 9 月に公開し、10 月には間もなくサービスが終了する 21H1 へ自動更新で 22H2 を提供する計画を示していた。

なお、Windows 10 はバージョン 2004 以降すべてのバージョンでサービシングコンテンツを共有しており、使用中バージョンよりも新しいバージョンの新機能が無効化された状態で含まれている。そのため、21H1 から 22H2 へのアップグレードは新機能を有効化するイネーブルメントパッケージを実行して再起動するだけでよい。

イネーブルメントパッケージは Microsoft Update カタログで配布されておらず、Windows Update 経由で入手するしかないが、自動更新を待たなくてもオプションの更新プログラムとして 22H2 が表示されている場合は手動で更新できる。また、Windows 11対応環境ならWindows 11にアップグレードすることも可能だ。

ただし、最近のバージョンの Windows 10 は新機能が少なく、22H2 の新機能は具体的に発表されていない。そのため、定期的に新バージョンをリリースするという約束を果たすためだけの新バージョンにも見えるが、スラドの皆さんのご意見はいかがだろうか。

Rocket Lab CEO のピーター・ベック氏が、ヘリコプターによるロケット第 1 段の空中キャッチは容易にできることではないとの見解を改めて示している (Rocket Lab の更新情報、 The Register の記事、 動画)。

Rocket Lab は 5 月の「There And Back Again」ミッションで空中キャッチに初めて成功。今回、日本時間 5 日の「Catch Me If You Can」ミッションで再び空中キャッチを実行すると予告していた。空中キャッチにはシコルスキー S-92 型ヘリコプターを用い、パラシュートで降下してきた Electron ロケット第 1 段のドラッグラインにフックを掛けて回収する。5 月のミッションではキャッチ後に海洋上へ落下させて回収船が製造施設へ運んでいたが、今回は直接オークランドの製造施設へ運ぶ計画も示されていた。

Electron ロケット 32 回目の打ち上げとなる「Catch Me If You Can」は、スウェーデン国立宇宙委員会 (SNSA) の MATS (中間圏大気光/エアロゾルトモグラフィーおよびスペクトロスコピー) 衛星打ち上げミッションだ。ニュージーランド・マヒア半島の Rocket Lab 打ち上げ施設で Electron ロケットが打ち上げられたのは日本時間 5 日 2 時 27 分。約 54 分後に高度 585 km の円軌道投入が確認され、打ち上げは成功した。MATS 衛星は Electron が軌道投入した 152 基目の人工衛星になるとのこと。

一方、再突入した第 1 段は順調に降下しているように見えたが、打ち上げから約 18 分後に空中キャッチ取りやめと海洋上への着水・回収が告げられた。その後、再突入時に第 1 段からのテレメトリーが一部失われたため、安全のため回収区域からヘリコプターを撤収したと説明されている。

ベック氏は「宇宙からロケットを帰ってこさせるのは困難なことであり、ヘリコプターでの空中キャッチは想像通り複雑だ」として、複雑な多数の要素が完全に揃う必要のある空中キャッチは成功する可能性が失敗する可能性と比べてはるかに低いと述べている。今回は海洋上で 5 台目のロケットが回収できたことに満足の意を示しつつ、Electron を再使用可能ロケットにするため、空中キャッチを今後も試みるとの意思を示した。

NTTソノリティは、NTTTコンピュータ&データサイエンス研究所の開発した「耳を塞ぐことなく利用者にしか聞こえないイヤホンの設計技術」を用いたイヤフォン製品2機種を順次発売するそうだ。販売されるのは有線タイプの「MWE001」（価格8250円）は9日から販売開始、無線タイプの「MBE001」（オープンプライス）は来春発売となっている。これに合わせてNTTグループ初のコンシューマ向け音響ブランド「nwm（ヌーム）」を立ち上げるとしている（PC Watch、NTTリリース）。

headless 曰く、

英国民保健サービス (NHS) は 7 日、研究施設で培養したヒトの赤血球を他人に輸血する世界初の臨床試験実施を発表した (ニュースリリース、 The Verge の記事)。

この赤血球はドナーが提供した幹細胞から培養したもので、ボランティア 2 名に 5 ～ 10 ml が輸血されたという。安全性が確認されて製造が可能になれば、血液・造血器疾患の患者を救う革新的な治療が実現する。

今回の臨床試験では培養赤血球の寿命を調査しているそうだ。培養赤血球は新鮮であり、同じドナーから採取した赤血球よりも優れていることが期待される。また、輸血された培養赤血球が長持ちすれば、患者への輸血頻度を減らすことが可能となる。

今回の臨床試験は培養赤血球の実現に向けた第一歩であり、近い将来では非常に複雑な輸血を要する非常に少数の患者にのみ使われるとのことだ。

あるAnonymous Coward 曰く、

いや、令和になってもアナログ感が抜けない日本の裁判事情 で調べ直していて気が付いてタレコミ子は驚いた。公正取引委員会の課徴金減免制度がFAX申請から電子メール申請になってた。ニッポンのお役所も少しは進歩するものだ（公正取引委員会、同申請手続一般、全ての報告書及び資料の提出を電子メールで行わなければならないのですか?）。

ベリーベスト法律事務所の記事によると、課徴金減免制度の適用申請の電子メール化は2020年12月25日からスタートしたとのこと。それ以前はFAXを使うとされていたが、ファクシミリ普及率の低下・インターネット普及率の上昇により、電子メールによる申請に変更されたとしている。ただし、課徴金減免制度は、申請順位によって減免率が大きく変わることから、申請の電子メールを送信したら、課徴金減免管理官にメールが受信されたのかを電話で確認しましょうと説明している（ベリーベスト法律事務所）。