パスワードを忘れた? アカウント作成

ログインするとコメント表示数や表示方法をカスタマイズできるのを知っていますか?

15757807 story
バグ

Slack、招待リンクを作成・破棄したユーザーのパスワードハッシュを他のメンバーに送信していた 3

ストーリー by headless
招待 部門より
Slack は 4 日、およそ 0.5 % のユーザーにパスワードをリセットしたと通知したそうだ (Slack のブログ記事The Register の記事)。

この対応はユーザーがワークスペースの共有招待リンクを作成または取り消すと、ユーザーのパスワードハッシュを他のワークスペースメンバーへ送信するというバグを受けたものだという。ただし、パスワードハッシュが Slack クライアントから見えることはなく、実際に取得するには暗号化されたネットワークトラフィックを監視し続ける必要がある。

このバグは外部のセキュリティリサーチャーが発見して 7 月 17 日に Slack へ通知したもので、Slack は直ちにバグを修正して影響範囲の調査を開始。2017 年 4 月 17 日 ~ 2022 年 7 月 17 日に共有招待リンクを作成または取り消したすべてのユーザーが影響を受けることが判明したとのこと。この問題で誰かが Slack ユーザーのパスワードを平文で取得できたと考える理由はないが、念のため影響を受けるユーザーのパスワードをリセットしたとのことだ。
15756613 story
プライバシ

Twitter、電話番号や電子メールアドレスに関連付けられたアカウントが収集されていたことを認める 34

ストーリー by nagazou
流出 部門より
headless 曰く、

Twitter は 5 日、システムの脆弱性が悪用され、電話番号や電子メールアドレスに関連付けられた Twitter アカウントが悪意ある人物に知られた可能性があると発表した (Twitter のブログ記事The Verge の記事BetaNews の記事HackRead の記事)。

この脆弱性はログインのフローで電話番号や電子メールアドレスを入力すると、既存の Twitter アカウントに関連付けられている場合はそのアカウントが表示されるというものだ。2021 年 6 月の更新で導入されており、2022 年 1 月に脆弱性報告報奨金プログラムを通じて報告を受けてすぐに修正したという。しかし、7 月になってこの脆弱性を悪用して収集したとみられる 540 万人分のデータが 3 万ドルで販売されていると BleepingComputer に報じられ、データのサンプルを調べたところ悪用が確認されたとのこと。

Twitter は影響が確認されたアカウントの所有者に直接通知しているが、影響を受けたすべてのアカウントを確認することはできないことや、特に仮名を使用している人が国家などの監視対象になっている可能性にも配慮してブログで発表することにしたそうだ。既に仮名のアカウントが知られてしまった場合は新たにアカウントを作成するしかないと思われるが、仮名で活動する場合には一般に知られた電話番号や電子メールアドレスをアカウントに追加しないよう Twitter は推奨している。

15754723 story
Windows

Windows 11、最新プロセッサーでデータ破損しやすい問題 49

ストーリー by nagazou
データ破損はまずい 部門より
headless 曰く、

Microsoft が 7 月の月例更新に合わせて公開したサポートドキュメント (KB5017259) が今になって注目されている (Neowin の記事Softpedia の記事The Register の記事)。

KB5017259 は Windows 11 / Server 2022 でサポートされる最新の CPU を搭載したデバイスでデータ破損が発生しやすいというものだ。具体的には最新の VAES インストラクションセット (AES-XTS または AES-GCM) をサポートするデバイスが対象となる。Neowin によれば、Intel では第 10 世代の Ice Lake 以降、AMD では ZEN 3 アーキテクチャーの Ryzen 5000 シリーズ以降が影響を受けるとのこと。

問題は 5 月 24 日リリースの累積更新プログラムのプレビュー (リリース C) および 6 月の月例更新で修正されているが、AES ベースの操作に 2 倍の時間がかかるようになり、BitLocker や TLS、ディスクのスループットでパフォーマンス低下が発生する可能性があるという。

パフォーマンス低下の問題は 6 月 23 日リリースの累積更新プログラムのプレビューおよび 7 月の月例更新で修正されているとのことで、最新の累積更新プログラム適用が推奨される。

15749276 story
バグ

複雑な表を含むメールで Outlook が応答しなくなる問題 65

ストーリー by nagazou
方眼紙使いにダメージ 部門より
headless 曰く、

Outlook で Uber のレシートメールなど複雑なテーブル (表) を含むメールを表示・返信・転送しようとすると応答しなくなる問題が発生しているそうだ (サポート記事The Verge の記事The Register の記事On MSFT の記事)。

この問題は最新チャネルのバージョン 2206 ビルド 15330.20196 以降に存在し、ベータチャネルと最新チャネル (プレビュー) の現行ビルドも影響を受けるという。Word でも同じ問題が発生するそうだ。修正プログラムはベータチャネルでのテストを近く開始する予定で、8 月 9 日の月例更新で最新チャネルへの提供も開始する計画とのこと。緊急の回避策が必要な場合向けには問題が発生する以前のビルドに戻す手順が紹介されている。

15749263 story
バグ

カメムシ注意報発令。梅雨明けが早かったため増殖中 21

ストーリー by nagazou
表年っていうのか 部門より
カメムシの発生数は1年ごとに発生数が増減する傾向があるという。今年は増加傾向に当たる「表年」だという。加えて梅雨明けが早かったことも影響し、地域によっては過去10年で最も増加しているという。毎日新聞の記事によれば、「天気が良く雨が少ないと虫も病気になりにくく、気温が高いと生育も早くなる」と解説する。すでに24都道府県が農家向けの「カメムシ注意報」を発表しているようだ(毎日新聞NHK農業協同組合新聞読売新聞)。

nemui4 曰く、

もしかして、今後二年おきにドンドン増えていく?

15742829 story
バグ

米昆虫学会、オオスズメバチを「northern giant hornet」として一般名リストに登録 27

ストーリー by nagazou
南北だけではマスターアジアになれぬ 部門より
headless 曰く、

米昆虫学会 (ESA) は 7 月 25 日、オオスズメバチ (Vespa mandarinia) の一般名を「northern giant hornet」として昆虫及び関連生物の一般名リストに登録した (プレスリリースMashable の記事GeekWire の記事)。

新しい名称は昨年 ESA が導入した一般名に関するポリシーに従ったものだ。オオスズメバチはアジアからの外来種であり、これまで「asian giant hornet」「murder hornet」などと呼ばれていたが、ポリシーでは特に侵略的外来種について地理的な場所を示す名前の使用を非推奨としている。

また、同じくアジアからの外来種で V. mandarinia と極近縁の V. soror は「southern giant hornet」という一般名、ツマアカスズメバチ (V. velutina) は「yellow-legged hornet」という一般名でリストに追加された。「northern」「southern」はアジアでの 2 種の分布範囲を示すものだ。

15740726 story
Windows

更新プログラムをインストールした Windows 11 の一部でスタートメニューが開かなくなる問題 14

ストーリー by nagazou
バグ 部門より
headless 曰く、

6月23日以降リリースのWindows 11の累積更新プログラムでスタートメニューが一部の環境で開かなくなる問題が確認され、既知の問題のロールバック(KIR)による対応が発表された(Windows 11の既知の問題と通知Neowin の記事BetaNews の記事Ghacks の記事)。

問題 は 6 月 23 日にオプションのプレビュー版更新プログラムとしてリリースされたビルド 22000.778 (KB5014668) で導入され、7 月の月例更新(ビルド22000.795、KB5015814)7月のプレビュー版更新プログラム(ビルド22000.832、KB5015882) にも含まれていたという。影響を受けるデバイスではスタートボタンをクリックしたり、Windows キーを押したりしてもスタートメニューが表示されない可能性があるとのこと。

問題は 7 月 22 日に確認され、同日 KIR による対応が行われた。非マネージドデバイスではインターネットに接続していれば 24 時間以内に変更が適用されるため何もする必要はないが、マネージドデバイスの場合はKIR 用のグループポリシーを使用する必要がある。

影響を受けるのは少数のデバイスということで、手元の環境では見かけなかったが、スラドの皆さんは目にしただろうか。

15738960 story
バグ

Questions for Confluence アプリ、ハードコードされた認証情報使用の脆弱性 1

ストーリー by headless
面倒 部門より
Atlassian の Questions for Confluence アプリでハードコードされた認証情報使用の脆弱性が確認されたそうだ (セキュリティアドバイザリーJiraNeowin の記事CVE-2022-26138)。

Questions for Confluence はコラボレーションツール Confluence に Q&A 機能を追加するアプリ。脆弱性のあるバージョン (2.7.34 / 2.7.35 / 3.0.2) を Confluence Server または Data Center で有効にすると、パスワードがハードコードされた「disabledsystemuser」という名前のユーザーを confluence-users グループに作成するという。そのため、ハードコードされたパスワードを知るリモートの攻撃者は、これを悪用してログインし、confluence-users グループのユーザーのアクセスが認められたすべての情報へアクセス可能になる。

脆弱性はバージョン 2.7.38 / 3.0.5 で修正されており、アップデートすればアカウント disabledsystemuser が作成されなくなるほか、作成済みの場合は削除される。ただし、Confluence が Atlassian Crowd など読み取り専用の外部ディレクトリを使用する構成になっている場合、外部ディレクトリからユーザーを手作業で削除する必要があるとのことだ。
15734906 story
Digital

マイナポイント事業、同一人物が複数回申込みできる不具合 93

ストーリー by nagazou
FIX 部門より
政府が実施している「マイナポイント」事業で、本来1人1回のみ申し込みが可能であるところ、複数回申し込める不具合があったそうだ。総務省によると、この不具合を利用して複数回申し込みをおこなったものがいることも確認されているという(総務省ケータイ Watch)。

マイナポイントは、マイナンバーカードの「利用者証明用電子証明書」を利用して申し込む。証明書が更新された場合も、新旧の証明書をひも付けることで、同一人物を確認していた。しかし、市区町村において「法律で想定されていない場面」で証明書の失効をおこなった場合、新たな証明書の発行後も新旧の証明書のひも付けが行われない不具合があり、本来不可能なはずの複数回の申込みが可能になっていたという。

総務省では防止策を講じたがこうした複数回の申し込みは、これまでの調査で471件(2回が470件、3回が1件)があったことが判明しているとのこと。
15733968 story
法廷

Intel の第 12 世代 Core プロセッサーに対応しない米国の司法試験受験ソフトウェア 56

ストーリー by headless
困惑 部門より
米国の司法試験で広く使われる受験ソフトウェア Examplify のメーカー ExamSoft が司法試験実施を前に、Intel の第 12 世代チップセットを搭載する Windows マシンは使用できないと通知して受験予定者を困惑させている (Ars Technica の記事The Verge の記事)。

通知のスクリーンショットによると、これらのプロセッサーは Examplify の自動仮想マシンチェックに引っかかるため、2022 年 7 月の司法試験で使用することはできないという。Examplify のシステム要件にも第 12 世代プロセッサーをサポートしないと記載されているが、この記述が追加された時期は不明だ。Internet Archive によれば 2022 年 4 月 26 日の段階では記述がなかったが、その後 2 か月半ほどスナップショットが保存されておらず、次のスナップショット (7 月 13 日) では追加されている。

ExamSoft からこれ以上の説明はないが、Examplify が仮想マシン上での実行を禁じており、該当プロセッサー搭載マシンを仮想マシンと誤認識することが原因のようだ。Ars Technica の記事では、高性能コア (P コア) と省電力コア (E コア) を搭載する第 12 世代 Core プロセッサーのコア構成が原因となっている可能性を指摘する。そのため、ファームウェア設定で E コアを無効化できれば実行可能になる可能性も指摘されているが、実際の動作は不明だ。
15726948 story
マイクロソフト

systemd 開発者 Lennart Poettering 氏、Microsoft に入社していた 56

ストーリー by headless
転職 部門より
systemd や PulseAudio の開発で知られる Lennart Poettering 氏が Microsoft に入社していたそうだ (Phoronix の記事 [1][2]The Register の記事)。

時期は明確になっていないが、Red Hat の Poettering 氏のアカウントが無効になっているという PulseAudio のバグ報告者のメーリングリスト投稿で表面化した。Poettering 氏は個人用の Red Hat Bugzilla アカウントを作ったと返信していたが、これまで勤務していた Red Hat を今年静かに退職し、 Microsoft へ静かに入社したことがその後判明する。

なお、通常はコメント数が 100 を超えることの少ない Phoronix の記事だが、今回の記事は 2 本合計で 300 コメントを超えている。
15719532 story
通信

au など KDDI 回線利用の通信に大規模障害 228

ストーリー by headless
トラヒック 部門より
maia 曰く、

7 月 2 日 1 時 35 分頃から au、UQ モバイル、povo の通信に障害が起きており、半日以上経っても解消していない (NHK ニュースの記事TBS NEWS DIG の記事 日本経済新聞の記事)。

影響は一般のスマホ等に限らず、回線を利用しているサービス全てにわたり、アメダスの一部、ヤマト運輸、大垣共立銀行の店舗外のATM、トヨタとスズキのコネクテッドカーのサービス、一部のバスの決済システムなどに影響が出ている。

KDDI が発表した 7 月 3 日 10 時現在の障害情報によれば西日本・東日本ともに 70 % 程度回復しており、西日本は 11 時ごろ回復となる見込みだという。東日本は 9 時 30 分を目標としていたが、回復に向けて継続的に取り組んでいる段階であり、具体的な回復見込み時間は後ほど発表するとのこと。 なお、7 月 3 日 7 時時点の障害情報でも回復状況は西日本・東日本ともに 70 % 程度となっていた。原因は 7 月 2 日未明の設備障害により VoLTE 交換機でトラヒックの輻輳が生じているとのことで、流量制御などの対処により音声通話およびデータ通信が利用しづらい状況が発生しているとのことだ。

KDDI の障害とは無関係に、スラドではおそらく 1 日 15 時過ぎからインデックス生成が停止している。スラドの皆さんにはご不便をおかけするが、復旧は月曜日になるかもしれないので、最新記事の取得には RSSまたはテスト版の新システムをご利用いただきたい。たが、3 日 15 時過ぎに復旧した。

15717501 story
インターネットエクスプローラ

IE モードのモーダルダイアログボックス表示で Microsoft Edge が応答しなくなる問題 14

ストーリー by nagazou
解決 部門より
headless 曰く、

Windows 10 バージョン 20H2 以降および Windows 11 の累積更新プログラムで Microsoft Edge の IE モード使用中に発生する可能性のある問題が確認され、既知の問題のロールバック (KIR) による対策が行われた (Windows 10 バージョン 21H2 で解決された問題Windows 11 で解決された問題BetaNews の記事)。

この問題は IE モードで表示しているサイトがモーダルダイアログボックスを表示すると Microsoft Edge が応答しなくなる可能性があるというもの。モーダルダイアログボックス表示に加えて「window.focus」を呼び出した場合にのみ発生するようだ。

影響を受けるのは 5 月の月例更新以降にリリースされたすべての累積更新プログラムで、最も古いのは 5 月 19 日にリリースされた Windows 10 の定例外アップデート KB5015020 (ビルド 19042.1708 / 19043.1708 / 19044.1708)。6 月の月例更新も含まれる。問題の発覚に時間がかかったとみられ、6 月 24 日に確認後、27 日には解決している。

なお、マネージドデバイスの場合は KIR 用のグループポリシーを使用する必要がある。同じ問題はWindows Server 2022 (ビルド 20348.740 以降) でも発生しているが、KIRの対象にはなっていない。

15717511 story
バグ

海亀が増えて、ウミショウブの藻場が減る。西表島 22

ストーリー by nagazou
バランス 部門より
読売新聞の記事によれば、沖縄県西表島に近い黒島などで絶滅危惧種のアオウミガメが近年急増中だという。この影響で石垣島と西表島周辺海域でしか生息していないこちらも絶滅危惧種の海草・ウミショウブが食い荒らされてしまうという問題が発生しているとのこと。このため環境省はアオウミガメの食害対策を盛り込んだ計画を策定することになったという(読売新聞西表在来植物の植栽で地域振興を進める会西表島の藻場保全)。

アオウミガメの黒島での生息数は2010年段階では約200頭だった。ところが2019年には約400頭と倍増しているそうだ。国内最大の産卵地である小笠原諸島でも同様の傾向があり、「小笠原海洋センター」によると、1984年の5000匹弱から2015年には5万匹を超えるまで増えたとしている。アオウミガメが急増した背景には、捕食者であるサメが漁協によって駆除されるようになったことも一因であるようだ。
15704722 story
Windows

6 月の月例更新でモバイルホットスポットに問題発生の可能性、Windows の幅広いバージョンに影響 20

ストーリー by headless
幅広 部門より
Windows の幅広いバージョンで、6 月の月例更新プログラムをインストールするとモバイルホットスポット機能に問題が発生する可能性があるそうだ (Microsoft DocsNeowin の記事Windows Central の記事)。

問題の内容としては、モバイル (Wi-Fi) ホットスポットを有効にしてクライアントが接続するとホストのインターネット接続が失われる可能性があるというもの。インターネット接続を回復するにはモバイルホットスポットを無効にする必要があるという。そのため、影響を受ける環境ではモバイルホットスポット機能が使用できなくなる。説明では「Wi-Fi ホットスポット」と記載されており、Bluetooth 接続のモバイルホットスポットは影響を受けない可能性もあるが、詳細は不明だ。

影響を受けるプラットフォームとしては、6 月の月例更新で累積更新プログラム / 月次ロールアップが提供されたすべてのバージョンの Windows で、Windows 7 SP1 や Windows Server も含まれている。手元の Windows 10 環境では問題なかったが、スラドの皆さんのところではいかがだろうか。
typodupeerror

あと、僕は馬鹿なことをするのは嫌いですよ (わざとやるとき以外は)。-- Larry Wall

読み込み中...