パスワードを忘れた? アカウント作成

スラドのRSSを取り込んでみよう。

13770315 story
バグ

エジプトでスカラベのミイラが発見される

ストーリー by headless
発掘 部門より
エジプト考古省は10日、4月からサッカラのネクロポリスで行っていた発掘調査の成果を発表した(プレスリリースFacebookに投稿された英語版プレスリリースArs Technicaの記事Reutersの記事)。

調査の対象となったのはウセルカフのピラミッド周辺で、古王国時代の個人の墓所が見つかる可能性が高いために選ばれたという。その結果、人が入ったことのない新王国時代の墓所3か所と、古王国時代の墓所4か所が発見された。中でも特に重要な発見はKhufu-Imhatの墓所で、第5王朝末期から第6王朝初期のものとみられる。

今回の発掘調査では、これまでに発見されたことのないスカラベのミイラが発見されている。スカラベのミイラは蓋に3匹のスカラベが描かれた石灰岩製で長方形の石棺に2体が納められており、布に包まれたミイラは非常に良い保存状態だという。さらに、1匹のスカラベが描かれたより小さい正方形の石棺にはスカラベのミイラが多数納められていたとのこと。

また、女神バステトに捧げた猫のミイラ数十体や金張りで木製の猫の像100体、青銅製の猫の像1体が発見されている。猫以外の動物をかたどった金張りの木製像のほか、コブラのミイラやワニのミイラを収めた木製の棺も発見された。
13767121 story
iPhone

Apple、iPhone Xのディスプレイ交換とMacBook ProのSSD修理プログラムを開始 21

ストーリー by hylom
心当たりのある方はどうぞ 部門より
headless曰く、

Appleは9日、iPhone Xを対象としたディスプレイモジュール交換プログラムとTouch Bar非搭載13インチMacBook Pro(2017年モデル)を対象としたSSD修理プログラムを開始した(SlashGear9to5MacMac Rumorsの記事1記事2)。

iPhone Xではディスプレイモジュールのコンポーネントに故障の可能性があり、タッチ操作に反応しなくなる/悪くなる、タッチしていないのに反応するといった症状が現れることがあるという。そのため、AppleまたはApple正規サービスプロバイダで対象デバイスのディスプレイモジュールを無償交換する。なお、修理に支障をきたす損傷がある場合に別途修理料金がかかることもある、というのは定型の説明だが、損傷例も「画面のひび割れなど」のままになっている。

Touch Bar非搭載13インチMacBook Proでは、2017年6月から2018年6月までに販売された本体内蔵の128GBまたは256GB SSDの一部で、データの消失やドライブの故障を引き起こす可能性のある不具合があるという。そのため、AppleまたはApple正規サービスプロバイダでは、SSDのファームウェア更新による修理を無償で行うとのことだ。

13766393 story
バグ

iPhoneのSafariに不具合、特定のCSSアニメーションを使ったWebページを開くとクラッシュ 39

ストーリー by hylom
iOSでよくある話ではあるが 部門より
あるAnonymous Coward曰く、

特定のCSSアニメーションを使ったWebページをiPhoneのWebブラウザ(Safari)で閲覧すると、iPhoneに高負荷がかかりアプリがクラッシュする(再起動される)という問題が発見された(GIGAZINE)。

この情報を公開していたページ既に非公開にされているが、いやしくもプログラマー名乗る人が「iPhoneでCSSアニメーションさせたら落ちた!サイト作って公開しよう!」って安易な行動に出るのは職業倫理の意識が足りなすぎ。

13765093 story
バグ

ライセンスサーバーの問題でWindows 10 Pro/Enterpriseのライセンス認証が一部で無効になるトラブル 34

ストーリー by headless
無効 部門より
Microsoftのライセンスサーバーの問題により、Windows 10 Pro/Enterpriseのライセンス認証が無効になるトラブルが8日から一部の環境で発生した(Microsoft Communityの記事Neowinの記事BetaNewsの記事Windows Centralの記事)。

手元のPCの1台(Windows 10 Pro)では特に問題ないように見えたが、設定アプリの「更新とセキュリティ→ライセンス認証」を見ると通常の「Windowsはデジタルライセンスによってライセンス認証されています」という表示が「Windowsはライセンス認証されています」に変わり、これまで存在しなかった「プロダクトID」「プロダクトキー」という項目が追加されていた。さらに、その後しばらくするとライセンス認証が無効になり、トラブルシューティングを実行すると「Windows 10 Homeのデジタルライセンスが見つかりました」と表示されるようになった。

Windows 10 Pro Insider Previewを実行する別のPCでも同様の問題が発生し、トラブルシューティングを実行すると「このデバイスではWindows 10 Pro Insider Previewを実行していますが、Windows 10 Pro Insider Previewのデジタルライセンスが見つかりました」と表示された。試しに指示通り「Windowsのエディションをアップグレード」してみたが、PCが再起動しただけで何も起こらなかった。なお、さらに別のPCでは特に問題は発生しなかった。

その後、9日昼までに最初の1台は再びライセンス認証が可能になった。Windows 10 Pro Insider Previewを実行するPCの方はライセンス認証できないままだったが、午後に再度起動してみたところライセンス認証された状態になっていた。

東部標準時9日午前(日本時間9日深夜~10日未明)の段階で、Microsoft Communityの記事には24時間以内に自動でライセンス認証が復活すると追記された。早く復活させたい場合はトラブルシューティングの実行が推奨されている。ライセンス認証が復活したとのコメントも増えているようだ。スラドの皆さんの環境ではいかがだっただろうか。
13764777 story
バグ

TI製低電力Bluetoothチップにリモートアクセスを可能にする脆弱性 9

ストーリー by hylom
またBluetoothか 部門より
あるAnonymous Coward曰く、

Texas Instruments(TI)のBluetooth Low Energy(BLE)チップに脆弱性が見つかった。このチップを採用した無線LANアクセスポイントに対し脆弱性を悪用することで、認証無しにネットワークに侵入できる可能性があるという(ITmediaGIGAZINE)。

イスラエルのセキュリティ会社Armisの研究者によって発見されたもので、問題のチップは「CC2640」や「CC2650」などで、CiscoやMeraki、Arubaなどが製品に採用しているとのこと。

今回の脆弱性は「BleedingBit」と名付けられており、悪意のあるトラフィックを送りつけることでバッファオーバーフロー攻撃を起こせるというもののようだ。これを採用したベンダー各社はすでにファームウェア更新などで対応しているという。

13764750 story
バグ

VirtualBoxの仮想NICに脆弱性、ホストで任意のコードを実行できる可能性 25

ストーリー by hylom
ピンポイントな 部門より
90曰く、

VirtualBoxに新たな脆弱性が見つかった。この脆弱性を悪用することで、仮想マシン内からホストOSで任意のコードを実行できるという(窓の杜GitHubで公開された脆弱性に関する情報)。VirtualBox 5.2.20以前が個の問題の影響を受けるという。

この脆弱性はVirtualBoxでデフォルトで選択される「Intel PRO/1000 MT Desktop(82540EM)」仮想ネットワークアダプタに起因するもの。悪用することでホストのring 3権限が取得でき、適当な別の脆弱性と組み合わせることができる。仮想デバイスをPCnetに変更するかNAT以外のモードに切り替えることで回避できる。

興味深いことに、発見者はこの脆弱性を0-dayという形で公開している。背景にはバグ報奨金に関して脆弱性発見者がベンダと共謀して公開を遅らせること、支払い基準が不透明なこと、(HeartbleedやMeltdownのように)名前をつけて大々的に騒ぐことなどへの不満があるようだ。

13764671 story
バグ

Microsoft Edgeブラウザに新たな脆弱性、リモートコード実行が可能 10

ストーリー by hylom
まだまだ出そう 部門より
あるAnonymous Coward曰く、

セキュリティ研究者であるYushi Laing氏と協力者のAlexander Kochkov氏は、Microsoft Edgeブラウザに関する2つの脆弱性を発見した。Yushi Liang氏は、Edgeブラウザへのゼロデイ攻撃の可能性を訴えている。彼らは、SensePostのWadi Fuzzerユーティリティの助けを借りてゼロデイバグを発見したという。Yushi Laing氏は、概念実証としてブラウザから電卓(Windows Calculator)アプリを表示した画像を公開している

なお、脆弱性の発見者に対して報酬を出す制度があるが、Webブラウザをターゲットにした新しい侵入コードを発見すると高額の報奨金が出るという。Liang氏は、安定して悪用できるコードの開発と完全なサンドボックスエスケープを達成すること、実行権限をSYSTEMにエスカレートする方法を探す目的で研究をしていたとしている(BleepingComputerITProSlashdot)。

13762877 story
バグ

夏時間のせいで医療記録が飛ぶ 92

ストーリー by hylom
海外では問題ないと言ったのは誰だ 部門より
あるAnonymous Coward曰く、

夏時間が導入されてから100年が経過した。しかし、今では多くの人々が毎年2回、時刻を調整するという行為に疑問を持っている。欧州委員会も今年の8月に夏時間の廃止を提案している。夏時間は第一次世界大戦中にドイツで石炭使用量を減らすことを目的に作られたが、もはや時代遅れのアイデアた。ある調査によると、夏時間の開始時に消費者支出は少し増加するものの、終了時には3.5%低下するという。

現代的な問題もある。病院で最も使用されているとされる電子健康記録ソフトウェアシステム「Epic Systems」は夏時間に対応しておらず、トラブル時には時間を1時間戻すといった作業が強いられるという。しかも毎年繰り返し行われる。カリフォルニア州の集中治療室の看護師によると、夏時間変更時のトラブルで1時間分の電子記録保管が「なくなる」のだという。病院のスタッフは、手書きのチャートノートを作ることで対処しているという。

アメリカ医師会元会長のSteven Stack博士は、病院がこれらのシステムに何百万ドルも費やしていることを考慮すると、もはや容認できない事態だとしている(USA TODAYPBSONEWS HOURSlashdot)。

13760002 story
Windows

Windows 10 October 2018 Update、一般提供が再開されないまま11月に入る 115

ストーリー by headless
停止 部門より
Microsoftは10月30日、Windows Insiderのスローリングおよびリリースプレビューリングに対し、Windows 10 October 2018 Update ビルド17763.107(KB4464455)の提供を開始した(Windows Experience Blogの記事)。

本ビルドではZIPファイルの「すべて展開」またはドラッグ&ドロップによる展開時に既存ファイルの上書き確認が表示されず、上書きできない問題が修正されている。また、ローミングプロファイルが正常に機能しない問題も修正されたとのこと。なお、タスクマネージャーの表示に関する問題は10月16日にスローリングとリリースプレビューリングに提供開始されたビルド17763.104で修正されている。

一方、ファーストリング向けにはWindows Insider Preview ビルド18272(19H1)の提供が10月31日に開始されており、ISOイメージのダウンロード(Windows Insider Programに登録したアカウントでのサインインが必要)も可能となっている。このビルドでは、Ctrl+マウスホイールによるコンソールウィンドウ(Cmd/PowerShell/WSL)の拡大縮小機能が追加された。ただし、このビルドでWSLは動作しないとのこと。

10月2日に一般向けの提供が始まったOctober 2018 Updateだが、アップグレード時にユーザーのファイルが消失する問題が報告され、Microsoftは10月6日にロールアウトを一時停止している。ファイル消失の問題は10月9日提供開始のビルド17763.17で修正されているが、ロールアウトは停止したまま既に11月となってしまった。October 2018 Updateの一般提供再開はいつになるだろうか。
13759831 story
バグ

Windows 10のUWPアプリ、ユーザーの承認なくファイルシステムへのアクセスが許可されるバグ 16

ストーリー by headless
無断 部門より
Windows 10では、ユーザーの承認なくUWPアプリにファイルシステムへのアクセスを許可してしまうバグがあるそうだ(Bleeping Computerの記事On MSFTの記事)。

UWPアプリではアクセス可能なファイルシステム上の場所が制限されており、既定ではアプリのインストールフォルダーやデータフォルダー、一時フォルダー内のファイルやフォルダーにのみアクセスできる。ほかの場所にアクセスするにはファイルピッカーを使用するか、アプリのマニフェストで宣言する必要がある。

マニフェストでは「DocumentsLibrary」や「MusicLibrary」のようにライブラリフォルダーへのアクセスを指定するほか、「broadFileSystemAccess」でユーザーがアクセス権を持つすべての場所へのアクセスを指定することも可能だ。しかし、broadFileSystemAccessを宣言した場合、最初の実行時にシステムがユーザーにアクセスを許可するかどうか要求することになっているが、実際には何も表示されないままアクセスが可能になってしまうのだという。
13759432 story
バグ

台湾の特急列車脱線事故、車両に不具合があったことが判明。事故に直接影響したかは不明 77

ストーリー by hylom
ミス 部門より
あるAnonymous Coward曰く、

先日台湾で特急列車の脱線事故が発生したが、事故が発生した車両を製造した日本車輌製造が、「列車自動制御保護システム(ATP)」関連で不具合があったことを明らかにした(毎日新聞)。

事故の直接の原因は減速せずにカーブに突入したためとされているが、事故前に運転士がATPをオフにしていたとされる。本来であればATPをオフにした際に司令室に通知が送られるはずが、不具合によってこれが通知されなかったという。発注時の仕様書通りに製造指示用の図面が書かれていなかったのが原因だそうだ。ただ、これが事故の直接の原因では無いと同社は説明している。

13759275 story
変なモノ

Pixel 3 XLの一部でノッチが増える 16

ストーリー by hylom
斬新 部門より
headless曰く、

巨大な「ノッチ」を搭載するGoogleのPixel 3 XLだが、さらに追加のノッチが出現したという報告が一部のユーザーから出ている(Android PoliceThe VergeMashableSlashGear)。

当然ながら追加のノッチは物理的なノッチではなく、画面のサイドにノッチと同じ形の非表示部分が出現するというものだ。ディスプレイ角の丸みを帯びた部分も再現されている。詳細は不明だがソフトウェアのバグとみられ、GoogleはAndroid Policeに対し、近いうちに修正すると述べたとのことだ。

13757580 story
X

X.Org Serverに2年近く前から存在した脆弱性が修正される 22

ストーリー by hylom
X11の重い歴史 部門より
headless曰く、

10月25日にリリースされたX.Org Server 1.20.3では、2年近く前から存在し、最近発見された権限昇格や任意ファイル上書きが可能になる脆弱性が修正されている(アナウンスPhoronix)。

この脆弱性CVE-2018-14665は、コマンドラインパラメーター(-modulepathおよび-logfile)の検証が適切に行われないことが原因だ。そのため、X.Org Serverが特権実行されている場合に権限昇格(-modulepath)または任意ファイル上書き(-logfile)が可能になる(セキュリティアドバイザリー)。

原因となった変更は2016年5月にコミットされたもので、2016年11月リリースのX.Org Server 1.19.0で導入され、X.Org Server 1.20.2まで脆弱性の影響を受ける。X.Org Server 1.20.3ではX.Org Serverが特権実行されている場合にこれらのコマンドラインパラメーターを無効化する形で修正が行われた。

13755762 story
バグ

農薬が知的障害の原因になるという研究結果 78

ストーリー by hylom
どうなる 部門より
あるAnonymous Coward曰く、

農薬が認知症などの原因となっているという研究結果が発表されたそうだ(Guardian)。

10月24日に発表された論文「Organophosphate exposures during pregnancy and child neurodevelopment: Recommendations for essential policy reforms」(妊娠中およびび子供の神経発達時におけるリン酸エステル汚染:抜本的な政策転換の推奨)によると、農薬として地球上のあらゆる国でふんだんに使われているリン酸エステル化合物を使った殺虫剤が認知障害、行動障害、神経発達障害の原因となることを示す有力なエビデンスが出てきたという。この農薬は発展途上国では急性中毒で20万人の死者が出るほどの濃度で使われているという。

有機リン系の殺虫剤が虫を殺せるのは、殺虫剤ががアセチルコリンエステラーゼの活性を非可逆的に失わせるからであり、これはサリンやVXガスなど、軍事的に「神経ガス」と呼ばれているものも同じ仕組みである。農薬に使われているものは低量では安全性に問題はないとされているが、大人には全くコリンエステラーゼの失活が検出できない程度の濃度で晒された場合でも、発達中の子供、特に胎児への影響は覿面であることが複数の研究によって検証された。この影響には新生児の異常な原始反射、未就学児童の精神・運動発達障害、小学校児童に対する視覚記憶、作業記憶、認識処理速度、言語理解、知覚推理及びIQの減衰が含まれる。妊婦が農薬に晒されると、胎児へのリスクはさらに跳ね上がり、注意欠陥・多動性障害 (ADHD)や自閉症スペクトラム症候群(ASD)の原因となる。

地球上のありとあらゆる場所で使われていて、実質的に影響を抑えることは不可能なので、全面禁止にした方がいいのではないか、という意見も専門家からは出ている。つまり、少数の人が有機野菜や食品洗浄で助かったとしても、農薬の使用量が上がり続ければ、他の圧倒的大多数の人のIQ合計値が下がり続けていくことを意味する。子供たちから奪われた可能性を考えると、その経済効果はとんでもない量になってしまうので、IQが高いままの人にとっても他人事ではなくなってしまう。

13755072 story
Windows

Windowsのゼロデイ脆弱性が再びTwitterで公表される 28

ストーリー by headless
削除 部門より
Windowsの新たなゼロデイ脆弱性が再びTwitterで公表された。Twitterでは8月にタスクスケジューラーのゼロデイ脆弱性が公表されているが、今回も同じTwitterユーザー(@SandboxEscaper)によるものだ(Bleeping Computerの記事Ars Technicaの記事On MSFTの記事PoC)。

今回の脆弱性はWindows 10(およびServer 2016以降)のData Sharing Serviceに存在し、関数「RpcDSSMoveFromSharedFile」を呼び出すことで権限のないユーザーが任意のファイルを削除できるというものだ。GitHubで公開されているPoCではpci.dllの削除が指定されており、実行するとWindowsが起動できなくなる。手元の環境では、24日にリリースされたばかりのWindows 10 Insider Preview ビルド18267(19H1)でも削除されることが確認できた。

ただし、削除のタイミングが難しいとのことで、PoCでは処理をループさせているが、状況によっては削除できないこともあるようだ。悪用の方法としてはDLLなどを削除してパスの通った別の場所に格納した同名ファイルを読み込ませるDLLハイジャックが提示されているものの、こちらも現実的に実行するのは難しそうだ。そのため、タスクスケジューラーのゼロデイ脆弱性の時とは異なり、PoCのソースコードが攻撃に転用される可能性は低いとみられている。

なお、既にMicrosoft EdgeやInternet ExplorerではPoCのアーカイブのダウンロードをブロックするようになっており、ChromeやFirefoxも警告を表示する。また、PoCの実行ファイルはWindows Defenderウイルス対策などのセキュリティソフトウェアの最新定義ファイルでマルウェアとして検出される。
typodupeerror

UNIXはシンプルである。必要なのはそのシンプルさを理解する素質だけである -- Dennis Ritchie

読み込み中...