パスワードを忘れた? アカウント作成

Idle.srad.jpは、あなたの人生において完全な時間の浪費です。見るなよ、見るなよ。

13171336 story
Windows

Windows 10 Insider Preview ビルド15042、評価版を示すウォーターマークが消える 18

ストーリー by headless
半々 部門より
Microsoftは24日、Windows 10 Insider PreviewのPC版ビルド15042とモバイル版ビルド15043をファーストリング向けにリリースした。PC版のビルド15042では評価版を示すデスクトップ右下のウォーターマークが表示されなくなっている(Windows Experience Blogの記事Neowinの記事)。

ウォーターマークのほか、「バージョン情報」ダイアログボックス(Winver.exe)では評価版の有効期限も表示されなくなっており、GSoDもBSoDに戻っている。一方、バージョン番号は1607のままであり、エディションも「Windows 10 Pro Insider Preview」のままとなっている。また、Insiderビルドの受け取りを完全に中止するには製品版ビルドに戻す必要があり、本ビルドを維持することはできない。

Windows 10 Creaters Updateは2月上旬にBug Bashを実施しており、大きな新機能追加は終了したとされる。本ビルドも変更点の大半が修正や機能改善であり、目立つ新機能は少ない。なお、Internet Explorerの「新しいタブ」の右に表示される「Microsoft Edgeを開く」ボタンは、前ビルドまでインターネットオプションで非表示にできていたが、本ビルドではオプション自体は残されているものの、非表示にならなくなっているようだ。

Creators Updateは4月リリースともいわれているが、Microsoftは具体的なスケジュールをまだ明らかにしていない。まだ完成には遠いようだが、いつごろ完成するだろうか。
13171330 story
情報漏洩

Cloudflareのバグで別のユーザーのCookieやパスワードが送信される 17

ストーリー by headless
通過 部門より
CloudflareのHTMLパーサーのバグにより、同社のリバースプロキシを使用するWebサイトにアクセスすると、別のユーザーのCookieや認証トークン、パスワード、APIキーなどを含むデータが送信される状態になっていたそうだ(Cloudflareのブログ記事Project Zero — Issue 1139The Registerの記事The Vergeの記事)。

このバグはバッファー終端のチェックで「>=」ではなく「==」を使用していたため、ポインターがバッファー終端を超えていることを認識できないというものだ。そのため、破損したHTMLタグを含むページを処理するとバッファーオーバーランによるメモリーリークが発生し、別のユーザーのデータが一緒に送信されることになる。バグを発見したGoogleのTavis Ormandy氏は、Heartbleedのようなバグと説明しつつ、「Cloudbleed」と呼ばないように求めているが、既にロゴも作られてしまっている。
13169203 story
バグ

宇宙線によるコンピューターのトラブル、深刻に 56

ストーリー by hylom
見えないバグ 部門より
あるAnonymous Coward曰く、

宇宙線によって、さまざまなコンピュータのトラブルが引き起こされているという。たとえば2003年にはベルギーでSEUが原因で電子投票のミスが発生、1人の候補者に4096票が追加されたこともあったそうだ(COMPUTERWORLDロスアラモス国立研究所Slashdot)。

米ロスアラモス国立研究所は、宇宙線やそれに類する荷電粒子が軍隊、商業航空宇宙産業、コンピュータ業界に与える影響を警告してきた。宇宙線やそれに類する荷電粒子は人間や生物には影響を与えないものの、精密化している電気回路などには影響を与えやすい。こうしたトラブルはSEU(single event upset)と呼ばれている。

被害は写真の1ドットが欠ける程度のものから飛行機の運用に支障を来すものまでさまざまなだ。最近ではシスコのルーターのトラフィック損失の原因がSEUと公表されている。SEUは大きな問題だが、一般には理解されにくいのが問題のようだ。

13165871 story
バグ

スポーツくじ「BIG」でランダムなはずの予測結果が2連続で一致するも「偶然」との回答 106

ストーリー by hylom
シードの選択がアレだった疑惑 部門より
あるAnonymous Coward 曰く、

コンピュータがランダムに抽選した予測が試合結果と合えば当選というスポーツくじ「BIG」において、14試合×5口分の予想結果が2回続けて全く同じという極めて不自然な結果が出力され、システムの不具合や不正ではないかと一騒動となっているようである(公式の調査発表ITmediaの記事1記事2)。

BIGでは1口分が14試合で、予想結果は勝ち・負け・引き分けの3パターンあり、これをコンピュータがランダムに抽選するため、同じ結果が出力される可能性は極めて低い。が、15日に楽天totoにて全く同じ結果が出力されたという画像付きの報告がTwitterに投稿され、不具合や運営側が意図的な操作をしているのではないかといった憶測が飛び交う事態となった。

20日にはくじを運営する日本スポーツ振興センターと楽天から調査結果の発表がなされたのだが、「くじは確かに販売されたものである」「重複した投票内容の出現はあり得る」といった「不具合や不正ではない」というものであった。しかし5口分の予測が一致する確率は0.0000000000000000000000000000001%というとで、さすがにキャッシュや乱数アルゴリズムのミスなどではないだろうか?

13165193 story
バグ

適切な命名規則で操作ミスを防げ 84

ストーリー by hylom
あるある話 部門より

先日「GitLab.comが誤って本番DBを削除、バックアップも取れていなくて大騒ぎに」という話があったが、誤って本番環境データベースを削除してしまった原因の1つに、本来操作対象とすべきバックアップサーバーのホスト名が「db2.cluster.gitlab.com」、誤って操作を実行してしまった本番環境のサーバーのホスト名が「db1.cluster.gitlab.com」と紛らわしかったことがあるのではないかという話が出ている(ITmedia)。

このように分かりにくい連番で命名を行っていると、作業中にうっかり間違った対象に操作を行ってしまう可能性があるとし、こういったトラブルを防ぐためには分かりやすい命名規則を付けて管理しておくべきという。

13160832 story
バグ

Microsoft、2月の月例更新プログラム提供を延期 20

ストーリー by hylom
いつ出るんだろう 部門より
headless 曰く、

Microsoftは14日、2月のセキュリティ更新プログラム提供を延期すると発表した(MSRCOn MSFTArs TechnicaSoftpedia)。

Microsoftによれば、直前になって発見された一部のユーザーに影響する問題の修正が間に合わなかったため、提供の延期を決めたとのこと。具体的な問題の内容や新たな提供日などについては記載されていない。

Microsoftでは毎月第2週の火曜日(日本時間では水曜日)に更新プログラムを提供しており、月例更新プログラムなどと呼ばれる。Windows 10では累積的な更新プログラムが提供されているが、昨年10月からはWindows 7/8.1/Server 2008 R2/2012/2012 R2でもロールアップモデルに移行した。

ロールアップパッケージに加え、企業向けにはセキュリティ関連のパッチのみを1つの更新プログラムにまとめたものも提供されているが、今月からはInternet Explorerの更新プログラムを分離する計画だった。

また、先日話題になったSMBの脆弱性に対応する更新プログラムも今月の月例更新に含まれる予定とされていた。

13156040 story
バグ

鼻から頭蓋骨内にゴキブリが侵入するという症例 22

ストーリー by hylom
マスクをして寝れば大丈夫だろうか 部門より
northern 曰く、

インドで、42歳女性の鼻から頭蓋骨内にゴキブリが侵入するという症例が報告された。女性が眠っている間にゴキブリが侵入したと思われ、吸引装置で吸い出すという処置が行われたという(CNN.co.jpAFP)。

女性は頭痛と呼吸困難を訴えており、医者が内視鏡検査を行ったところ、「生き物の足」が見つかったという。摘出されたゴキブリは体長約2.5センチで、鼻と脳の境目にある頭蓋底にまで入り込んでいたという。摘出後、症状はすぐに治まったという。

13151730 story
プライバシ

Safariの履歴を消去してもiCloudからすぐには消去されない 42

ストーリー by headless
墓石 部門より
iOSデバイス上でSafariの履歴を消去しても、iCloud上のデータがすぐには削除されないことが判明した(ElcomSoft blogの記事Forbesの記事The Registerの記事MacRumorsの記事)。

デジタルフォレンジックツールを開発するElcomSoftのVladimir Katalov氏が偶然発見したもので、同社のPhone Breaker 6.40には消去済み履歴を抽出する機能が搭載されている。消去されたSafariの履歴は「tombstone(墓石)」というレコードに別途保存されており、1年以上前のデータが保持されていることもあったようだ。

消去済み履歴はデバイス間の同期に使用されるようだが、ここまで長期間保持されるのは設計上の問題とみられる。Appleはメディアからの問い合わせに回答していないが、問題への対応は開始しているようで、多くのiCloudアカウントでは過去2週間分の消去済み履歴のみが見える状態になっているとのこと。

ただし、実際にデータを削除したのか、外部からアクセスできない場所に移動したのかについては不明だ。なお、iCloud上に一切履歴を保持したくない場合は、iCloudの機能を無効にすればいい。
13145831 story
バグ

WordPress 4.7.0および4.7.1 に認証なしでコンテンツをアップロードできる深刻な脆弱性 33

ストーリー by hylom
すぐに更新しなくても大丈夫かなと思っていたらそんなことはなかった 部門より
あるAnonymous Coward 曰く、

WordPress 4.7.0および4.7.1に、認証無しで誰もがサイト上にコンテンツをアップロードできるという脆弱性が存在することが明らかになった。この脆弱性は1月26日にリリースされたWordPress 4.7.2で修正されたが、リリース時にはこの脆弱性については非公開とされていた(プレスリリースIPAITmediaImpress Watch)。

問題の脆弱性は、REST API経由でコンテンツを投稿する際に本来必要であるはずの認証をバイパスできるというもの。このREST API機能は以前からプラグインとして用意されていたが、バージョン4.7から本体に同梱、デフォルトで有効化されるようになったものだという。脆弱性の詳細についてはセキュリティエンジニアの徳丸氏のブログが詳しいが、「id=1A」のようなパラメータを指定した場合に、存在しないIDとみなされるはずがPHPの型変換により特定の処理が動いてしまうといことらしい。

WordPress.orgは通常すぐに脆弱性情報を公開するが、今回は危険性を鑑みて、自動アップデートやセキュリティ企業の対策の猶予期間を設けた上での発表という異例の対応となった。既に国内のサイトでもこの脆弱性を利用したとみられる改竄が確認されている事から、該当バージョンの利用者は至急アップデートを実施されたし。

13139550 story
Chrome

Chrome 57ではプラグイン設定ページが廃止される 12

ストーリー by hylom
拡張機能もあるから紛らわしい 部門より
headless 曰く、

Google Chrome 57では「プラグイン」設定ページ(chrome://plugins)が廃止されるそうだ(Google Chrome Help Forumの記事BetaNewsの記事)。

プラグイン設定ページにはChromeにインストールされているプラグイン(≠拡張機能)が表示され、個別に無効化したり、常に実行を許可するかどうかを指定したりできる。しかし、 Chromeでは2015年にNPAPIプラグインのサポートが廃止されており、プラグイン設定ページの必要性がほとんどなくなっていることが廃止の理由だ。また、ほとんどのユーザーはFlashを知っていても、「プラグイン」が何かを理解している人は少ないことも理由として挙げられている。FlashやPDFビューアについては、「設定→詳細設定を表示→コンテンツの設定」(chrome://settings/content)で設定を変更できる。

13137750 story
バグ

日本臓器移植ネットワークのシステムに不具合、本来移植を受けるべき患者よりも優先度の低い患者に移植が行われる 21

ストーリー by hylom
生死を分けかねないバグ 部門より

臓器移植の斡旋を行っている公益社団法人・日本臓器移植ネットワークのシステムに不具合があり、本来移植を受けるべき希望者よりも優先度の低い移植希望者に臓器移植が行われていたことが明らかになった(日本臓器移植ネットワークによる「移植希望者の誤選定に関するお詫び」産経新聞)。

移植希望登録者から対象患者を選定するための検索システムに不具合があり、患者の情報が修正された場合に再計算が行われていなかったのが原因だという。

13136135 story
Windows

Windows 8.1/10ではサードパーティーのアンチウイルス製品を避けるべき? 112

ストーリー by headless
安全 部門より
Mozillaの元開発者 Robert O'Callahan氏が、Microsoft以外のアンチウイルス製品は使用すべきではないと主張している(Eyes Above The Wavesの記事Ars Technicaの記事The Registerの記事Softpediaの記事)。

これはGoogleのJustin Schuh氏が昨年、安全なブラウザーを出荷する最大の障害はアンチウイルスだと指摘した一連のツイートに呼応するものだ。O'Callahan氏はMicrosoft以外のアンチウイルス製品がセキュリティーを改善するとの証拠はほとんどなく、むしろセキュリティーを低下させると主張する。

たとえば、Firefoxに初めてASLRを実装した際、多くのアンチウイルスベンダーがFirefoxのプロセスにASLRを無効化したDLLをインジェクトして台無しにしたという。また、アンチウイルスソフトウェアはFirefoxのアップデートを何度もブロックしており、開発者はアンチウイルスに起因する問題に対処するために多くの時間を無駄にしていると述べている。

GoogleのProject Zeroで指摘されるようなアンチウイルス製品のバグは、開発者が一般的なセキュリティープラクティスを守っていないことを示すものだが、(おそらく最近のGoogleを除く)ソフトウェアベンダーは問題解決にアンチウイルスベンダーの協力が必要なため、声を大にして指摘できないとのことだ。

なお、Windows 7やWindows XPの場合はサードパーティーのアンチウイルス製品を使用することで、少しはましになるかもしれないともO'Callahan氏は述べている。つまり、Windows 8.1/10では標準のセキュリティー対策機能のみを使用すべきということだ。スラドの皆さんはどう思われるだろうか。
13134786 story
バグ

テーブルサイズの不足に気付かなかったCode.org、生徒が書いたコードなどを失う 15

ストーリー by hylom
32ビットインデックス問題は忘れがちだよね…… 部門より
headless 曰く、

Code.orgがCode Studioで生徒の書いたコードや学習状況を記録するテーブルサイズの不足に気付かず、一時データが保存できない状況になっていたそうだ(Code.orgのブログRegister)。

トラブルが発生したのは20日9時19分(PST)。これまでCode Studioのテーブルは32ビットインデックスを使用しており、40億行のデータしか保存できなかった。しかし、データがいっぱいになるまで気付かなかったのだという。そのため9時19分以降に生徒が書いたコードは保存されなくなり、学習の進捗状況も正しく表示されなくなったとのこと。Code Studioサイトも一時ダウンしていたそうだ。

問題に気付いたCode.orgでは64ビットインデックスの新しいテーブルに切り替えて10時33分に復旧したとのこと。ただし、9時19分~10時33分に生徒が作成したコードは復元できず、新しいテーブルへのデータ移行が完了するまで過去のデータが表示できない状態になった。一方、64ビットインデックスに変更したことで最大1,800京行、数百万年分のデータが保存可能になったとのことだ。

13130525 story
バグ

中部電力の料金システムに多数の不具合が発生 14

ストーリー by hylom
電力自由化の余波 部門より

中部電力が昨年末から年始にかけて行ったシステム更新の影響で、請求書の未発送や重複送付、記載内容の誤表示といったトラブルが多数発生している模様(中部電力の発表1発表2読売新聞)。

発生しているのは振込用紙の重複送付が約7,500件、請求書記載の電気使用量等の表示誤りが約8,600件、口座再振替のお知らせ時の金額誤りが約3,000件、請求書等発行遅延が約11万件。そのほか顧客に対し発生の経緯を説明する文書の送付時に誤って「電気料金等請求書在中」と表記された封筒で送付を行ったことや、請求書の送付なしに料金を引き落とすというトラブルも発生しているという(中部電力の発表3)。

請求書の未発送については問題への対処のため請求書の発送停止や再作成を行った際に「委託会社が当社の指示と異なる措置を実施した」ことが原因とのこと。

中部電力のシステムでは発電事業者や小売電気事業者における発電・需要計画値と実際の発電・需要実績との差分(エリアインバランス)の誤算定という不具合も発生している(ITmedia)。こちらの問題は北海道電力でも発生しているという。

13130424 story
Chrome

Adobe Readerをインストールすると勝手にインストールされるChrome拡張に脆弱性が発見される 24

ストーリー by hylom
勝手に広まる脆弱性 部門より

先日最新版Adobe Readerをインストールすると勝手にChrome拡張がインストールされるという話があったが、この拡張を悪用した脆弱性が存在することが指摘されている(ZDNet Japan)。

発見された脆弱性は、閲覧しているページとは無関係の任意のJavaScriptコードを実行可能にできるクロスサイトスクリプティング(XSS)脆弱性(Chromiumのバグトラッカー)。すでにAdobeは1月19日付けでこの問題に対処するアップデートをリリースしている。

typodupeerror

192.168.0.1は、私が使っている IPアドレスですので勝手に使わないでください --- ある通りすがり

読み込み中...