パスワードを忘れた? アカウント作成

今週も投票をしましたか?

15218954 story
マイクロソフト

ハッキング事件の起きたSolarWindsサーバーでは「solarwinds123」というパスワードが使用されていた 36

ストーリー by nagazou
訴訟コースだ 部門より
SolarWinds製の更新プログラムを悪用する形で、現在も米政府やMicrosoft、シスコシステムズなどに影響を与えている大規模攻撃。この攻撃をめぐって米国では2月26日に公聴会が開かれた。公聴会にはSolarWindsの現CEOであるSudhakar Ramakrishna氏、前CEOのKevin B. Thompson氏、Microsoft プレジデントのBrad Smith氏、FireEye CEOのKevin Mandia氏が参加した(下院監視・改革委員会CNETMUOGIGAZINEZENet)。

Rashida Tlaib議員はSolarWindsの幹部に対して、SolarWindsのサーバーの一部が「solarwinds123」などのパスワードで保護されていたと報じられていた件について問いただした。これに対して前CEOのThompson氏は、インターンがパスワードを設定していた部分が、外部のセキュリティ研究者に発見されたとして事実であったことを認めた。このセキュリティ研究者は、2019年にSolarWindsに対して事前に警告を行っていたが、それでもSolarWinds側は問題のパスワードを更新していなかったと報じられている。

先の公聴会ではThompson氏はインターンの責任であるかのように発言したが、インターンにこうした重要なサーバーのパスワード設定を任せた点は額面通りには信じられないとMUOの記事では指摘している。このパスワードは2017年に設定されていたという。会社が3年以上前に設定されたパスワードをまったく精査していなかったことも問題視している。
15217635 story
Windows

Windows 10 Insider Preview、「3D オブジェクト」フォルダーを非表示化 46

ストーリー by headless
意味 部門より
Microsoftは2月24日、Windows 10 Insider Preview ビルド21322 (RS_PRERELEASE)をDevチャネルでリリースした(Windows Insider Blogの記事Ghacksの記事Softpediaの記事BetaNewsの記事)。

本ビルドではエクスプローラーの「PC」で、「フォルダー」に「3D オブジェクト」フォルダーが表示されなくなっている。「3D オブジェクト」フォルダーは2017年、3DアプリケーションのデフォルトのデータフォルダーとしてWindows 10 Fall Creators Update (バージョン1709)で追加されたが、使用しているユーザーは少ないとみられる。本件を紹介する記事でも「無意味な機能」「誰も使っていない機能」のような表現が目立つ。

「3D オブジェクト」フォルダーは特別なフォルダーの一覧に表示されなくなるだけで、フォルダーの実体にはユーザープロファイルフォルダーから引き続きアクセス可能だ。容易にアクセスする方法として、エクスプローラーのアドレスボックスに「%userprofile%」と入力する方法と、ナビゲーションウィンドウのオプションで「すべてのフォルダーを表示」を選択する方法が紹介されている。なお、ペイント3Dでファイルを3Dモデルとして初めて保存する場合、本ビルドでも保存先には「3D オブジェクト」フォルダーがデフォルトで選択されていた。
15214968 story
Chrome

教育分野で躍進中のChromebook、年内に40機種が投入予定。3月には画面録画ツールなどの新機能も 38

ストーリー by nagazou
躍進 部門より
国内外含めてChromebookのシェアが拡大している。世界的にも2020年のPC出荷台数でChromebookのシェアが10%を超えMacを上回ったとする報道もあったほか、国内でも政府のGIGAスクール構想の後押しにより、大幅なシェア拡大を果たしている(PC WatchTechCrunch Japan)。MM総研が2月16日に発表した「GIGAスクール構想実現に向けたICT 環境整備調査」によれば、国内の教育市場においてはGoogle Chrome OSが43.8%のシェアを獲得、2位のiPadOSの28.2%、Microsoft Windowsの28.1%を上回ったという。

Googleによると2021年中には新たに40機種もの「Chromebook」が発売される予定であるという。多くがコンバーチブルタイプとなり、リモート学習などに適したデュアルカメラを搭載する予定。Googleは3月頃に搭載される予定の画面録画ツールなども発表している。このツールを使用すると、教師と生徒は教室や自宅で授業内容やレポートを記録することができる。授業や宿題の管理などが行える「Google Classroom」に関しても、教師向けにアドオンのマーケットプレイスを導入する。授業に適したサービスやツールなどが提供される予定(GoogleブログGoogleブログその2EngadgetCNET)。

nemui4 曰く、

教育用途向けに頑張ってる様子。端末固まっても、リセットでなんとかなるみたいだし。

15214198 story
Windows

クリップボード履歴にプレーンテキストで貼りつける機能搭載。Insider Preview ビルド2131 21

ストーリー by nagazou
もうワンアクション減らせるといいんだけど 部門より
Microsoftは19日、Windows 10 Insider Preview ビルド21318(RS_PRERELEASE)をDevチャネルで提供開始した。このビルドに関してはARM64デバイスにも提供される(Windows Insider Blog窓の杜)。

新しい機能としてWin+Vで呼び出せるクリップボードの履歴機能に、プレーンテキストとして貼り付けることのできるオプションが追加された。履歴テキスト中の[…]ボタンをクリックすることに選択可能になる。これにより、フォント、色、サイズなどの書式を消すためだけのためにメモ帳やテキストエディタに一度貼り付けてコピペする必要が無くなった。

このほか、Bluetoothデバイスに関する通知を自動で消える設定から表示したままに変更した。これにより、Bluetoothデバイスの設定変更が容易になるという。「×」ボタンや通知を画面からスライドさせることで消すことができる。

あるAnonymous Coward 曰く、

ようやく「メモ帳にいったん貼り付けてからコピペしなおす」という不毛な操作から解放される

情報元へのリンク

15213756 story
マイクロソフト

予測入力、どれぐらい必要? 76

ストーリー by headless
予測 部門より
Microsoftは19日、Microsoft 365 ロードマップを更新してWord for Windowsの予測入力機能を3月にリリースする計画を示した(Neowinの記事Windows Centralの記事On MSFTの記事The Vergeの記事)。

予測入力はスペルチェックや文法チェックなどの機能を備える文章作成アシスタントMicrosoftエディターの新機能で、昨年9月にOffice Insiderを対象にWordとOutlookでテストが行われていた。動作としては入力を開始すると入力候補が一つのみ表示され、TABキーで確定、Escキーで却下する。動画を見る限り予測入力が発動するのは一部の単語のみのようで、使い続ければ学習により改善されていくとのこと。テストの段階では英語のみサポートと説明されていたが、正式リリースで英語以外の言語もサポートされるのかどうかは不明だ。

日本語入力環境では予測変換機能が以前から利用できており、スマートフォンの入力システムでは英文でも予測入力ができるためそれほど目新しい機能ではないが、役に立つかどうかは精度次第だろう。個人的には半年(たぶん)ほど前、メインで使用しているWindows 10環境のMicrosoft IMEで予測入力中にハングする頻度が高くなり、メモ帳など入力中のアプリが巻き込まれてしまうため無効化した。最初は不便に感じたが、既に慣れてしまったのでそのままになっている。Ghacksの記事ではWordとOutlookで予測入力を無効化する手順も紹介しているが、スラドの皆さんは予測入力をどれぐらい必要としているだろうか。
15212592 story
Windows

Microsoft、Windows 10標準のFlash Playerを削除する更新プログラムを自動更新で提供開始 35

ストーリー by nagazou
抹消 部門より
headless 曰く、

MicrosoftがWindows 10標準のFlash Playerを削除する更新プログラム(KB4577586)を自動更新で提供開始したようだ(Ghacksの記事Windows Latestの記事BetaNewsの記事)。

KB4577586は昨年10月にWindows 8.1/10/8 Embedded/Server 2012/2012 R2/2016/2019のサポートされる各バージョンを対象とする更新プログラムがMicrosoft Update カタログ限定で提供開始されていた。Microsoft Update カタログの更新プログラムはWindows 10向けおよびWindows Server 2019以降向けのみ2月16日付で更新されており、サポートドキュメントもこれに合わせて更新されたとみられる。サポートドキュメントにはオプションの更新プログラムとしてWindows Updateで提供されると記載されており、対象にWindows 10 バージョン2004/20H2は含まれていないが、手元のWindows 10環境のうち2つ(いずれもバージョン20H2)ではオプションとして表示されることなく自動更新で適用された。手元で1つだけ残っているWindows 8.1環境のWindows UpdateにKB4577586は来ておらず、Windows 10と同様に順次提供されているのかどうかは不明だ。

この更新プログラムはInternet ExplorerとレガシーEdgeのFlash Playerプラグインを削除するものだ。更新プログラムをアンインストールすることはできず、Flash Playerを復元するにはシステムの復元を使用するか、Windowsを再インストールする必要がある。 Google Chromeや新Microsoft EdgeなどのChromium系ブラウザーやMozilla Firefoxには影響しないが、これらのブラウザーでは最新版で既にFlashサポートが削除されている。なお、更新プログラムをインストールすると「Flash Player (32 ビット)」コントロールパネルが削除される。特に影響はないと思われるが、Firefox用プラグインのコントロールパネルも利用できなくなり、AdobeがFlash Playerの提供を終了しているため再インストールもできない。

15212584 story
Windows

次期Windows 10 Enterprise LTSCのサポート期間は5年に 40

ストーリー by nagazou
短縮 部門より
あるAnonymous Coward 曰く、

従来Windows 10 LTSCのサポート期間は10年だったが、Microsoftは2021年後半にリリースされる次期Windows 10 Enterprise LTSCのサポート期間を5年に短縮すると発表した。理由は「Office LTSCと同じシナリオとデバイス需要に対応するため」としている(Windows IT Pro Blogマイナビニュース)。10年サポートの内訳はメインストリームサポート5年+延長サポート5年なので、延長サポートがまるまる廃止されると見られる。なおWindows Embeddedの後継製品であるWindows 10 IoT Enterprise LTSCのサポート期間は10年のまま変更されない。

リリース済みのLTSB/LTSCのサポート期間は短縮されないので、次期LTSCのサポートはLTSC 2019より3年も早く終了してしまうことになる。従来延長サポートを提供しないと発表していたため同様のサポート期間の逆転が起きていたケースでは結局なし崩し的に延長サポートの提供が行われてきたが、今度こそMicrosoftは初志貫徹できるだろうか。

情報元へのリンク

15212320 story
暗号

Microsoft、DirectXエンドユーザーランタイムにSHA-2で署名し直して提供再開 25

ストーリー by headless
再会 部門より
あるAnonymous Coward 曰く、

先日、SHA-1署名されたコンテンツのダウンロードセンターからの提供中止に伴い、SHA-1署名されたDirectX SDKとDirectXエンドユーザーランタイムもダウンロードセンターから削除されたが、影響の大きさをかんがみてか、これらのダウンロードはSHA-2で署名され直して提供が再開された模様である。

なおタレコミ時点では、DirectXエンドユーザーランタイムWebインストーラー日本語版のダウンロードページおよびそのページへの短縮リンクは復活していないが、英語版のページからダウンロードできる。以前からどの言語版のページでもダウンロードできるファイルは結局同じだったので、とくに問題はない。

15211911 story
Facebook

Facebookがオーストラリアでニュースコンテンツの共有・閲覧をブロックし、表示される虚偽情報が増加 34

ストーリー by headless
虚偽 部門より
Facebookは17日、オーストラリアでニュースコンテンツの共有・閲覧をブロックすることを発表した(About Facebookの記事)。

オーストラリアではデジタルメディアプラットフォームにおけるニュースメディアコンテンツの使用料支払い義務付けにつながる法案「News media bargaining code」が検討されており、当初の対象となるFacebookとGoogleが反対している。Facebookは同社がプラットフォームを無料で提供し、ニュースパブリッシャーが自主的にニュースコンテンツを投稿していることを指摘。このようなコンテンツにも使用料支払いを義務付ける法案はFacebookがパブリッシャーにもたらす経済的価値を無視するものだと批判していた。Microsoftが法案を支持し、スコット・モリソン首相がBingでGoogleを置き換えられるとの見解を示したこともあってGoogleは姿勢を軟化させているが、Facebookは強硬手段をとることになった。

これにより、Facebook上でオーストラリアのパブリッシャーはコンテンツの共有・投稿が禁止され、オーストラリアのユーザーは海外パブリッシャーが投稿したものを含めニュースコンテンツの閲覧・共有ができなくなるほか、オーストラリア以外のユーザーもオーストラリアのニュースコンテンツを閲覧・共有できなくなる。その結果、Facebook上でオーストラリアに関する虚偽の情報が多数表示されることになり、誤認識による公共機関や非政府組織などのFacebookページに対するブロックも多発したという。Facebookは誤認識を謝罪してページを復元しているが、ソーシャルメディア中心の情報発信から自サイト中心の情報発信への切り替えを発表する公共機関多い

このようなFacebookの動きに対し、法案を推進するNine傘下の9NewsやThe Sydney Morning Heraldだけでなく、オーストラリア国内メディアは批判的だ。SBS NewsのようにFacebook以外でフォローする方法をまとめた記事を公開するメディアもみられる。オーストラリア政府もFacebookを強く批判する一方で、Facebookとの交渉も続けているようだ(ABC Newsの記事The Sydney Morning Heraldの記事9Newsの記事[1][2])。
15211528 story
Windows

Windows 10 Insider Preview、初の21H1ビルドが提供開始 21

ストーリー by headless
地味 部門より
Microsoftは17日、Windows 10初の21H1ビルドとなるWindows 10 Insider Preview ビルド19043.844 (バージョン21H1)をベータチャネルで提供開始した(Windows Insider Blogの記事Windows Experience Blogの記事)。

現在のところバージョン21H1はオプションの更新プログラムとして「seeker」向けに提供されており、設定→更新とセキュリティ→Windows Updateで「Windows 10、バージョン 21H1 の機能更新プログラム」の下に表示される「ダウンロードしてインストール」をクリックすればインストールできる。バージョン21H1はバージョン1909/20H2と同様にイネーブルメントパッケージの形で提供され、インストールすることでバージョン2004/20H2で無効化されている21H1の新機能が有効化される。

21H1のインストールを選択しなければ同日ベータチャネルとリリースプレビューチャネルで提供が始まったバージョン20H2のビルド19042.844(KB4601319)がインストールされ、ユーザーが21H1へのアップグレードを選択するか、ベータチャネルがすべて21H1に移行するまでは引き続き20H2の更新プログラムが提供され続ける。一方、いったん21H1をインストールすると、以降は21H1の更新プログラムを受け取ることになる。

21H1はセキュリティやリモートアクセス、品質の向上を主体とする小規模なアップデートとなり、目立つ新機能は少ない。Windows Experience Blogの記事は、Windows Helloでのマルチカメラサポートと外付けカメラのデフォルト化や、Windows Defender Application Guardのパフォーマンス向上、リモートワークでのシナリオをサポートするWMIグループポリシーサービス(GPSVC)のパフォーマンス向上が挙げられている。一般リリースまでに新機能が追加される可能性もあるが、新機能の面では20H2よりも地味な感じだ。MicrosoftはWindowsハードウェア互換性プログラム(WHCP)で21H1の要件をバージョン2004から変更しないことを明らかにしている。

なお、20H2以降では新Microsoft EdgeでレガシーEdgeが置き換えられており、Microsoftは4月の月例更新でバージョン1803以降のレガシーEdgeを削除する計画を示しているが、ビルド19042.844/19043.844ともにレガシーEdgeのプログラム本体はまだ削除されない。
15210853 story
Windows

Microsoft、買い切りタイプのOffice製品「Office 2021」と「Office LTSC」を発表 73

ストーリー by nagazou
人によっては待望の製品 部門より
Microsoftは2月18日、公式ブログ上でオフラインで利用できるOffice製品を発表した。コンシューマ向けとなるOffice 2021は2021年後半に発売の予定。永続ライセンス版製品は以前から予告されていたが、具体的な製品名や販売スケジュールが明らかになるのはこれが初めて。コンシューマー向けの「Office 2021」とエンタープライズ向け「Office LTSC」の2種類が用意されるという(Microsoft公式ブログITmedia)。

Office 2021は個人および中小企業向けの製品で、1度購入すれば5年間のサポートが保証されるという。これらの製品の価格は「変更する予定はない」としており、「Office 2019」と同じ価格帯になると見られている。エンタープライズ向けの「Office LTSC」は、長期間機器の更新等を行えない、インターネットに接続していない製造現場のプロセス制御デバイス、機能をロックする必要があるなどの業務用向けの製品として提供される。
15207392 story
OS

マイクロソフトのリポジトリにアクセスするRaspberry Pi OSに一部からブーイングが出る 153

ストーリー by nagazou
批判 部門より
以前はRaspbianと呼ばれていたRaspberryPi OSだが、2021年1月25日に行われたアップデートによりオープンソースファンから反発されている。ユーザーがアプリまたはOS自体を更新するたびに、Microsoftサーバーにpingを送信していたためだという(PCMagGIZMODO)。

Raspberry Pi Foundationは、RaspberryPi OSにデフォルトでMicrosoftのVisual Studio Codeエディターを導入した。しかし、その結果、Visual Studio Codeエディタが格納されているリポジトリに接続確認するようになったようだ。ユーザーへの確認を取らない形で接続する仕様になっていたことから、強い批判が起きている模様。
15207469 story
マイクロソフト

Microsoftのマルウェア対策エンジンに12年以上前から存在した脆弱性 31

ストーリー by nagazou
脆弱性 部門より
headless 曰く、

Microsoftが2月の月例更新でMicrosoft Defenderのマルウェア対策エンジン「Microsoft Malware Protection Engine」で発見された脆弱性CVE-2021-24092を修正している(セキュリティ更新プログラムガイドSentinelLabsのブログ記事HackReadの記事)。

Microsoftのセキュリティ更新プログラムガイドでは特権昇格の脆弱性とのみ説明されているが、発見したSentinelLabsによれば権限なしに任意ファイルを上書き可能な脆弱性だという。

Microsoft Malware Protection Engineは内部名BTR.sysというドライバーをランダムなファイル名で読み込んでマルウェア削除などの修復処理を実行する。この際にログファイル「BootClean.log」をシステムのTempディレクトリーに生成するのだが、既に同名のファイルが存在する場合はファイルが実体なのかハードリンクなのかを確認せずに削除して新しいログファイルを作成してしまうそうだ。これにより、攻撃者はBootClean.logという名前のハードリンクを作成することで任意ファイルを上書き可能となる。この脆弱性を任意コードの実行に悪用するのは困難だが、不可能ではないとのこと。

この脆弱性がいつ導入されたのかは不明だが、SentinelLabsがVirusTotalにアップロードされたファイルを検索したところ、遅くとも2009年には脆弱性が存在していたそうだ。SentinelLabsでは長年にわたって脆弱性が発見されずにいた理由として、ドライバーファイルが常時存在せず、必要な場合のみランダムなファイル名で読み込まれる点を指摘する。

脆弱性はマルウェア対策エンジンのバージョン1.1.17800.5で修正されている。Windows 10でバージョンを確認するには「Windowsセキュリティ」を開き、「設定」で「バージョン情報」をクリックして「エンジンのバージョン」を確認すればいい。この脆弱性が実際の攻撃で使われている形跡はなく、自動更新が有効になっていれば既に修正済みのはずだが、確認しておくといいだろう。

15207424 story
マイクロソフト

接触通知アプリCOCOAの不具合、Xamarinを使用したことが一因か? 204

ストーリー by nagazou
合理的にやろうとしたけれど 部門より

Android版で接触通知が行われないという致命的なバグのあった「接触通知アプリCOCOA」だが、iPhoneにも使用日数が数日毎にリセットされるといった致命的な不具合が複数報告されている(Togetter)。yprestoさんのツイートによると

COCOA iOSが初期化されるバグ、Xamarin.Formsがファイルを削除→移動している箇所でbreakpointで止めて、そのままアプリを落とすと、確かに初期化されることを確認しました(Githabへの書き込み

とのこと。タレコミ元のTogetterまとめにあるようにXamarin自体にバグがあったかどうかかは別として、発注や運用に問題があったといわれても仕方ない状況ではあるようだ。

あるAnonymous Coward 曰く、

Android版に致命的な不具合があったことが判明したCOCOA、iPhoneにも致命的な不具合が生じているとの報告が多く、平井卓也デジタル改革担当相もiPhoneでも起きている可能性について十分あると記者会見で述べたが、最近になってその原因の可能性として、COCOAの実装に使われているマルチプラットフォーム化中間フレームワーク「Xamarin」のコアにレースコンディションのバグがあることが発見された。まとめ「COCOA iPhone版のリセット不具合 Xamarinの基礎的欠陥が発見される」によると、設定情報を保存したプロパティをシリアライズしてファイルに書き出すロジックで、「.tmp」に書き出したのちに、元のファイルを削除してから、「.tmp」を元のファイル名にリネームすするコードが書かれているという。そのため、削除してリネームするまでの間に、プロセスがOSにより強制終了されると、設定ファイルが消失し、アプリが初期化されてしまうという。

情報元へのリンク

15206335 story
海賊行為

Microsoft Edgeアドオンサイト、人気ゲームの海賊版等をプレイできる拡張機能が多数見つかる 17

ストーリー by nagazou
不正 部門より
headless 曰く、

新Microsoft Edgeのアドオンストア「Microsoft Edge アドオン」サイトで、人気ゲームの海賊版やクローンをプレイできるようにする拡張機能が数十本発見されたそうだ(The Vergeの記事)。

The Vergeが発見した拡張機能には「Mario Kart 64 - N64 Simulator」「Super Mario Bros. Game」「Original Pac-Man Game」「Tetris Game」「Minecraft Game Online」など(以上、リンク先はInternet Archiveのスナップショット)が含まれ、1本を除きすべて削除されている。開発者はNintendoやMicrosoftなどではなく、聞いたことのない開発者名ばかりで、アカウント自体は削除されていないようだ。

なお、少なくとも一部はビンテージゲームとしてMicrosoftがアドオンコレクションに加えていたとみられ、Microsoft Edge DevのTwitterアカウントがこれを宣伝するツイートを投稿後に削除している(Internet Archiveのスナップショット)。実際にインストールしたユーザーのツイートによると、Mario Kart拡張機能はNintendo 64ゲームのROMをダウンロードしたという。

Microsoft Edgeのアドオンサイトでは11月に人気拡張機能の偽物が見つかり、12月にはマルウェアを含む拡張機能が見つかるなど、不正な拡張機能が増加している。Internet Archiveにスナップショットが残っている拡張機能4本は昨年12月に更新されており、11月に投稿されたレビューもみられる。The Vergeによれば10月に投稿されたレビューもあったとのことで、まだまだ気付かれることなく公開されている不正な拡張機能が存在する可能性もある。

typodupeerror

アレゲは一日にしてならず -- アレゲ研究家

読み込み中...