パスワードを忘れた? アカウント作成

スラドのTwitterでストーリをフォローしよう。

13963448 story
お金

UberとUber Eatsで誤って料金を100倍増しで請求するトラブル発生 6

ストーリー by hylom
毎度お騒がせ 部門より

Anonymous Coward曰く、

ネット配車サービスを手がける米Uberで、システムの不具合によって本来の100倍の料金が請求されるトラブルが発生していたという(Engadget日本版BGRBBC)。

問題が発生していたのは、配車サービスUberと、飲食物配達サービスのUber Eats。Uberはすでに問題を修正しているとし、不適切な請求が行われた顧客に対しては過請求分の払い戻しなどの対応を取ったとのこと。

まあこれが2倍だったりしたら、発覚しなかったかも。怖いですねぇ。

13962829 story
Chrome

Chrome 76ではWebサイトによるシークレットモード検出が困難に 8

ストーリー by headless
検出 部門より
7月30日にリリース予定のGoogle Chrome 76では、Webサイトによるシークレットモード検出に使われないようFileSystem APIの動作が変更される(The Keywordの記事Neowinの記事BetaNewsの記事SlashGearの記事)。

現行のGoogle Chromeではシークレットモード時にFileSystem APIが無効化されるため、WebサイトはAPIが有効かどうかを調べることでシークレットモードを検出できる。このような「抜け穴」を使用しているのは、一定数の記事を無料で閲覧できるメーター制課金システムを採用しているパブリッシャーだ。記事の閲覧数はCookieに保存されるため、制限を超えて閲覧する方法の一つとしてシークレットモードが使われることもあるという。Googleでは制限の迂回を避けたいパブリッシャーに理解を示しつつも、シークレットモードを検出してユーザーに対応を求めるような手法はシークレットモードを台無しにするものだと述べている。

なお、今回のブログ記事に具体的な変更内容は書かれていないが、Chromium Gerritによればシークレットモードではメモリー上に作成した仮想ファイルシステムを使用するというものだ。FileSystem APIは実質的にシークレットモードの検出にしか使われていないことから、いずれは削除も視野に入れているとも報じられていた。この機能自体は実装済みであり、Chrome 75でもchrome://flags/#enable-filesystem-in-incognitoを「Enabled」にすれば利用可能だ。
13959908 story
AMD

AMDのCPUにおけるRDRAND命令に不具合、Systemdが影響を受ける 109

ストーリー by hylom
そこを吸収するのがOSの仕事では 部門より

Linux向けのサービス・システム管理ソフトウェアSystemdは、いくつかのAMD製プロセッサを搭載するマシン上で適切に動作しないという。その結果、いくつかのLinuxディストリビューションでブートに失敗するなどの不具合が報告されている(Ubuntu systemd packageでのバグ報告Phoronix本の虫)。

2018年12月にリリースされたSystemd 240では、x86-64アーキテクチャにおいてカーネルが提供する乱数源である/dev/urandomではなくRDRAND命令を使って乱数を生成するよう変更が行われた。この変更については、システムの起動直後には/dev/urandom経由では十分なランダム性が得られないためと説明されている。

しかし、特定のAMD CPUではRDRAND命令に不具合があり、その影響でRDRAND命令を使用するよう変更されたSystemd v240以降で問題が発生することが2月に確認された。2月の時点で問題となったのはAMDのExcavatorアーキテクチャおよびそれ以前のアーキテクチャを採用するCPUで、これらのCPUではサスペンド/レジューム後にRDRAND命令がランダム値ではなく必ず「-1」(0xFFFFFFFFFFFFFFFF )を返すようになっていたという(systemdのissuesに投稿されたコメントTechPowerUp)。これによってsystemdが特定の状況下で乱数を得られず、問題が発生していたという。

13958399 story
ネットワーク

Cloudflare、全世界で発生した障害の経緯を解説 43

ストーリー by headless
解説 部門より
Cloudflareが2日におよそ30分間にわたって発生した障害について解説している(Cloudflareのブログ記事The Registerの記事)。

Cloudflareでは復旧直後のブログ記事でWeb Application Firewall(WAF)の新ルールにCPUを100%使用する正規表現が含まれていたことと、ルールが段階的ではなく短時間に全世界に展開されたことを原因としていたが、世界規模の障害につながった理由はそれだけではないという。問題の正規表現には  .*(?:.*=.*)  という部分があり、これが多数のバックトラックを生む原因となったのだが、テストには極度なCPU使用を確認する項目がなかったそうだ。

また、極度なCPU使用を防止する保護機能が数週間前に誤って削除されていたこと、Cloudflareの他のソフトウェアと異なり迅速性が重視されるWAFルールは全世界に一括展開されるようになっていたこと、サービスがダウンして内部のコントロールパネルで認証が行えない状態だったことも原因として挙げられている。新ルールは当初、ユーザーのトラフィックをブロックせずにパススルーする「シミュレート」モードで展開されていたものの、処理自体は実際に行われるためCPU使用率の上昇につながったとのこと。

今回の問題を受けてCloudflareでは極度なCPU使用に対する保護機能を復元し、すべてのWAFルールを人力でチェックして極度なバックトラックが発生する可能性を排除したという。また、ルールを段階的に展開するようSOP(Standard Operating Procedure)を変更中であり、ルールのパフォーマンスを確認する項目をテストに追加することや、正規表現エンジンの切り替えも予定しているとのことだ。
13957879 story
Android

Android Qのジェスチャーナビゲーション、サードパーティー製ホームアプリで発生する問題への対策は一般リリース後に 9

ストーリー by headless
問題 部門より
Googleは10日、Android Q Beta 5の提供を開始した(Android Developers Blogの記事リリースノートAndroid Policeの記事SlashGearの記事)。

Beta 5はAndroid Q初のリリース候補ビルドで、今後Beta 6を経てファイナルリリースとなる。Android Qではジェスチャーによるナビゲーションの導入によりサードパーティー製のアプリケーションランチャー(ホームアプリ)が正常に動作しない問題が発生しているが、この問題の修正はファイナルリリースの一般提供開始後にアップデートとして提供する計画だという。そのため、Beta 6ではユーザーがサードパーティー製ホームアプリを規定にすると3ボタンナビゲーションに切り替えるとのこと。

なお、ベータプログラムに参加したユーザーのデバイスへのOTA配信も同日開始されたが、アップデートのインストールに関する問題が発生したとしていったん配信を停止、翌11日に配信が再開された。Android QではBeta 4でもOTA配信を一時停止し修正ビルドが提供されるまでに5日間を要したが、今回は同じビルド番号(QPP5.190530.014)のまま配信が再開されたようだ。Pixelデバイス向けのシステムイメージはOTA配信停止中もそのまま提供されていた。
13957542 story
電力

一部のUSB Type-CケーブルでRaspberry Pi 4に給電できない理由 107

ストーリー by headless
電源 部門より
Raspberry Pi 4では電源端子がUSB Type-Cに変更されているが、ノートPC充電用に多くみられるeMarkerチップを内蔵するUSB Type-Cケーブルを使用すると給電が行われない問題があるという(Tyler Ward氏のブログ記事TechRepublicの記事The Vergeの記事The Registerの記事)。

USB Type-Cでは2つのCC(Configuration Channel)端子(CC1・CC2)で接続状態やモードを識別する。電源供給元ではCC1・CC2をそれぞれ4.7 kΩ~56 kΩの抵抗(Rp)でプルアップし、電源供給先ではそれぞれ5.1 kΩの抵抗(Rd)でプルダウンするのだが、Raspberry Pi 4では1個のRdでCC1・CC2の両方をまとめてプルダウンしている。一方、eMarkerチップ内蔵ケーブルではCCラインの1本(VCONN)がインピーダンス800 Ω~1.2 kΩ(Ra)でプルダウンされる。しかし、Raspberry Pi 4側でCC1とCC2が短絡しているので、CC1・CC2ともにRa以下のインピーダンスでプルダウンされることになる。この状態はオーディオアダプターアクセサリーモードを示すため、電源が供給されなくなってしまう。

Raspberry Pi Foundationでは将来のリビジョンで基板を修正する計画を示しているが、現行リビジョンではスマートフォンの充電用に多いeMarkerチップ非搭載のUSB Type-Cケーブルを使用するか、Raspberry Pi 4専用のパワーサプライを使用するしかないようだ。
13955247 story
お金

不正利用問題が発生した7payアプリ、開発期間は実質半年、テスト期間は実質1か月 93

ストーリー by hylom
既存システムとの連係ものは大変 部門より

不正利用被害報告が相次いだ決済アプリ「7pay」ではセキュリティの甘さが指摘されていたが(過去記事)、その開発現場では複数回の大きな仕様変更があり混乱していたという(Business Insider JAPAN)。

当初7payは単独のアプリとして配信される予定だったが、2018年末に既存の「セブン-イレブンアプリ」の新機能として提供されるよう仕様が変更されたという。この段階でアプリの開発会社も変更され、約半年での開発が強いられたとのこと。また、テストが開始されたのは4月末で、テスト期間は実質1か月ほどしかなかったそうだ。テストのスケジュール自体も2、3回の変更があったという。これにはセブン&アイ・ホールディングスのネットショッピングサービス「オムニ7」との連係が要求されていたこともあるようだ。

13946592 story
医療

Medtronicのインスリンポンプ、近距離から認証なしにインスリン投与を無線制御可能な脆弱性 18

ストーリー by headless
投与 部門より
Medtronicのインスリンポンプで近距離から認証なく無線アクセス可能な脆弱性(CVE-2019-10964)が見つかり、米国ではリコールが行われている(Medtronicのお知らせICSMA-19-178-01The Registerの記事SlashGearの記事)。

対象となるMiniMed 508およびMiniMed Paradigmでは無線を使用して血糖値モニターなどに接続する機能が搭載されているが、適切な認証の仕組みが実装されていない。攻撃者は脆弱性を悪用することで、近距離から無線アクセスして設定変更やインスリン投与の制御が可能になる。インスリンが過剰に投与されれば低血糖症、インスリン投与量が不足すれば高血糖症や糖尿病性ケトアシドーシスを引き起こす可能性がある。

米国内で利用する患者および医療関係者に対しては脆弱性のない製品への交換が呼びかけられており、米国外の利用者に対しては各国・地域に合わせた手順を含む通知が送られるとのこと。一部の機種では特定のソフトウェアバージョンにのみ脆弱性が存在するものの、ソフトウェア更新では対応できないようだ。

このほか、すべての利用者に対し、インスリンポンプ及び接続した機器を常に制御下に置くこと、シリアル番号を他人に知らせないこと、ポンプからの通知や警告に注意を払うこと、意図しない投与はすぐキャンセルすること、などの対策が推奨されている。
13941114 story
バグ

Dell SupportAssistでまた脆弱性が見つかる 11

ストーリー by headless
発見 部門より
Dell製PCの多くにプリインストールされているサポートツール「Dell SupportAssist」に存在する、DLLハイジャックの脆弱性(CVE-2019-12280)が公表された(DSA-2019-084SafeBreachの記事The Next Webの記事BetaNewsの記事)。

Dell SupportAssistでは4月にも不適切なオリジン検証の脆弱性(CVE-2019-3718)とリモートコード実行の脆弱性(CVE-2019-3719)が公表され、Dell SupportAssist Client バージョン3.2.0.90で修正されている(DSA-2019-051)が、今回の脆弱性はサードパーティー製のPC-Doctorモジュールに存在するものだ。

脆弱性のあるPC-DoctorではDLLの安全な読み込みや署名の検証が行われないため、システムのPATH環境変数で指定されたディレクトリーから任意の無署名DLLを読み込ませることが可能だという。PC診断ツールのPC-DoctorはローレベルのハードウェアにアクセスするためSYSTEMの権限で実行されており、悪用することで権限昇格も可能となる。脆弱性を発見したSafeBreach Labsでは、物理メモリの任意アドレスからデータを読み取るPoCを作成している。ただし、PC-Doctorのプレスリリースでは、管理者権限のないユーザーが書き込み可能なフォルダーをシステムのPATH環境変数で指定する必要があることから、実際に攻撃に使われる可能性は低いとの見解を示している。

脆弱性は開発元のPC-Doctorが直接提供するPC-Doctor Toolbox for Windowsのほか、他社ブランドで提供されているOEM製品にも存在するが、PC-DoctorがDellを通じて脆弱性を通知されたのは5月21日のことであり、既に修正版がリリースされている。Dell Support Assistでは5月28日にリリースされたビジネスPC向けのバージョン2.0.1、ホームPC向けのバージョン3.2.1で脆弱性が修正されており、SupportAssistの自動更新が有効になっていれば何もする必要はないとのこと。なお、これらのバージョンでは不適切な権限管理によりローカルユーザーがSYSTEMに権限昇格可能な脆弱性(CVE-2019-3735)も修正されている(DSA-2019-088)。
13940451 story
Firefox

Firefoxにゼロデイ脆弱性、修正版が1日おきにリリースされる 35

ストーリー by headless
攻撃 部門より
Mozillaは18日、Firefoxの脆弱性(CVE-2019-11707)を公表し、修正版のFirefox 67.0.3/ESR 60.7.1をリリースした(MozillaのセキュリティアドバイザリCISのセキュリティアドバイザリHacker Noonの記事Android Policeの記事)。

脆弱性はArray.popにおける型の取り違えの脆弱性で、JavaScriptオブジェクトを操作する際に発生する。これにより、攻撃に利用可能なクラッシュを引き起こすことができ、成功すれば任意コード実行が可能になるという。Mozillaではこの脆弱性を悪用したターゲット型の攻撃を既に確認しているとのこと。

報告者のSamuel Groß氏(Google Project Zero)のツイートによると、脆弱性を発見して4月15日にMozillaへ報告したが、攻撃の具体的な内容については知らないそうだ。報告者として併記されているCoinbase Securityが何らかの攻撃を確認した可能性もあるが、この時点ではCoinbase側から特に情報は出ていなかった。

さらに20日、Mozillaはサンドボックス迂回の脆弱性(CVE-2019-11708)を修正するFirefox 67.0.4/ESR 60.7.2をリリースした。この脆弱性は親プロセスと子プロセス間のIPCメッセージ「Prompt:Open」で渡されるパラメーターのチェックが不十分なことにより、侵害された子プロセスが選んだWebコンテンツをサンドボックス化されていない親プロセスが開いてしまうというもの。他の脆弱性と組み合わせることで任意コード実行が可能になるとのこと(Mozillaのセキュリティアドバイザリ[2])。

CoinbaseのPhilip Martin氏によると、これら2つの脆弱性を組み合わせた攻撃が同社従業員をターゲットに実行されていることを17日に検出し、ブロックしていたという。また、元NSAハッカーで現在はMac用のセキュリティツールを開発しているPatrick Wardle氏によれば、同じ脆弱性を利用してmacOSにバックドアを送り込む攻撃のサンプルをユーザーから入手したとのことだ(Philip Martin氏のツイートObject-See's Blogの記事Ars Technicaの記事)。
13939802 story
The Gimp

GIMP 2.10.12公開。開発者にはWindowsユーザーがいないらしい(そしてmacOSも) 96

ストーリー by hylom
とはいえ手を出すにもなかなかハードルは高い 部門より

minet曰く、

6月12日、画像編集ソフト「GIMP」のバージョン2.10.12が公開された(GIMP.org窓の杜)。

GIMPチームによれば、今回のバージョンは多数のバグ修正が行われた「ほとんどバグフィックスリリース」のようなものだそうだ。“Don’t squash bugs…free them!”(バグは潰すんじゃない……解き放つんだ!)との格言漫画が添えられている。

とはいえ、いくつもの重要な改良も加えられている。

  • 曲線ツールの改良
  • TIFF形式エクスポートでのレイヤーのサポート
  • Windowsでのユーザーインストールフォントのサポート
  • 描画の高速化
  • 覆い焼き/焼き込み操作のインクリメンタルモード
  • 自由選択ツールの改良
  • 新しいオフセットツール

その中で、Windowsでのユーザーインストールフォントのサポートについては、「十分なテストはされていない」「マジに今の開発者の中でWindowsユーザーが誰もいないのでバグが山積み(ついでにmacOSでも同じことが言える)」「パッチと新しい貢献者を喜んで歓迎する!」などと言及されており、現在のGIMP貢献者がGNU/Linux系に偏っている実情が伺える。

13937363 story
Android

古いAndroid端末で数十GBや100GB超の異常通信、SNSで報告相次ぐも原因不明 68

ストーリー by hylom
原因は一体 部門より

Android端末が大量のパケットを送受信しているという報告がTwitterなどで寄せられている(TogetterまとめINTERNET Watchカミアプ)。

これらのパケットはAndroid OSが送受信していると見られており、Android 5.1以前の端末で発生しているようだ。「Google Play開発者サービス」アプリが原因という声もあるが、具体的に何が問題でこういった通信が発生しているのかは分かっていない。

13937047 story
バグ

中小企業基盤整備機構のシステムでは茨城県を「イバラギケン」でしか登録できない 87

ストーリー by hylom
イバラギでもなぜか変換できてしまう 部門より

茨城」の正しい読みは「イバラキ」であり、「イバラギ」ではない。間違って「イバラギ」と覚えていたり読んでしまっている人は少なくないが、独立行政法人・中小企業基盤整備機構のシステムでは茨城県を「イバラキケン」でしか登録できないそうだ(@NaotaWatanabe氏のTweet)。

@NaotaWatanabe氏によると、同機構からは「イバラギケン」でないとシステムエラーになってしまうため茨城県は「イバラギケン」での登録になるとの返答がきたという。

13934725 story
Firefox

Firefox 67.0.2、保存していたログイン情報がセキュリティソフトウェアにより消えるトラブル 19

ストーリー by headless
保存 部門より
一部の環境でFirefoxをバージョン67.0.2にアップデートすると、Firefoxに保存されていたログイン情報が消えてしまうトラブルが発生していたそうだ(gHacksの記事MozillaのBugzilla — Bug 1558765BetaNewsの記事Softpediaの記事)。

当初AvastやAVGが原因だと考えられていたが、AVGによるとAVGアンチウイルス本体ではなく、AVG Password Protectionというオプション機能を購入したユーザーだけが影響を受け、Avastユーザーは影響を受けないという。トラブルの原因は、Firefoxが新しいバージョンのブラウザーにサインインするための証明書を更新したが、AVGが新しい証明書に信頼できるとマークしていなかったためとのこと。

影響を受けた環境では、Firefoxのプロファイルフォルダー(通常は「C:\Users\<ユーザー名>\AppData\Roaming\Mozilla\Firefox\Profiles\<ランダムな文字列>.default」)内のログイン情報を格納するファイル「logins.json」がFirefoxにより「logins.json.corrupt」のようにリネームされている。データ自体は削除されていないため、Firefoxを終了してファイルを元の名前に戻せば復旧するそうだ。AVGでは問題を修正する更新プログラムを既に配布しており、製品バージョン「VPS 190614-02」以降では影響を受けないとのことだ。
13933359 story
Safari

インド最大のストリーミングサービス、Safariのサポートを停止。システムの不具合をSafariに押しつけた? 19

ストーリー by hylom
実際Safariは独特の挙動をするところがあったりするが 部門より

Anonymous Coward曰く、

20世紀フォックスの子会社でインド最大のビデオストリーミングサービスを手がける「Hotstar」で、Safariブラウザでからの閲覧ができなくなったという。同社はSafariの「技術的制約」が原因と発表した。しかし「情報筋」によると、実際のところはHotstarのシステムに認証していないユーザーがコンテンツにアクセスできるという不具合があり、この不具合はSafariからのみ悪用できるためにSafariからのアクセスがブロックされたという(TechCrunchSlashdot)。

この問題は南アジアで人気の高いクリケットのワールドカップが開催されている最中に発生したということで、同社には苦情が殺到しているようだ。

typodupeerror

日本発のオープンソースソフトウェアは42件 -- ある官僚

読み込み中...