Comodoの有料リモートサポートツール「Geekbuddy」にローカルでの権限昇格の脆弱性が発見された。GoogleのProject Zeroから報告を受けたComodoが10日に修正版をリリースしたため、Project Zeroが内容を公開した(Google Security Research — Issue 703、 The Registerの記事、 Ars Technicaの記事、 BetaNewsの記事)。

GeekbuddyはComodoのサポートスタッフがリモートから接続してPCの問題を診断したり修正したりするためのツール。Geekbuddyと同時にVNCサーバーがインストールされ、デフォルトで有効になっている。しかし、VNCサーバーのパスワードはディスク情報のSHA1ハッシュから先頭の8文字を抜き出したものであり、同じ値はレジストリにも書き込まれている。この情報は特権ユーザー以外でも取得可能なので、簡単に権限を昇格してコマンドを実行できる。サンドボックスも迂回可能だという。

Project ZeroのTavis Ormandy氏はリモートからの実行の可能性についても言及しているが、Comodoではこれを否定している。また、Ormandy氏はGeekbuddyをComodo Internet Security(CIS)付属のツールと説明しているが、ComodoによればCIS付属バージョンに脆弱性はなかったとのこと。

米国では粉チーズのかさ増しにセルロースを使うことが問題になっているそうだ(Consumeristの記事、 Bloombergの記事、 Foodbeastの記事)。

セルロースは木材のパルプから作られたもので、チーズ片同士がくっつかないように使われる。こういった用途での適量は2～3%だが、Bloombergの調査によると「100% Grated Parmesan Cheese」と記載されているにも関わらず。8.8%のセルロースを含む粉チーズもあったという。ハウスブランドの「Essential Everyday 100% Grated Parmesan Cheese」が8.8%のセルロースを含んでいたスーパーマーケットチェーンのジュエル・オスコでは、この製品の廃止を決めたそうだ。

2012年に米食品医薬品局(FDA)が摘発し、今月有罪判決が出るとみられているCastle Cheeseでは、「100% Grated Parmesan Cheese」や「Romano 100% Grated Cheese」に他のチーズの切れ端やセルロースだけを使っていたそうだ。また、「100% Grated Parmesan Cheese」にはFDAの定義によるparmesan/reggianoを一切含んでいなかったとのこと。

TSMCは6日に台湾南部で発生した地震による生産設備への影響について、当初の想定よりも若干大きくなるとの見通しを示している( ニュースリリース、 Digitimesの記事、 9to5Macの記事)。

TSMCは6日の段階で、地震による深刻な人的被害は出ておらず、台南サイエンスパークのFab 14およびFab 6で建物や設備への被害はないと説明。製造途中のウェーハの被害は確認中としつつ、2～3日で95%の機器は通常の状態に復元可能であり、2016年第1四半期のウェーハ出荷量への影響は1%未満との予測を示していた。

しかし、製造途中のウェーハの被害が想定以上に大きく、Fab 14AとFab 6の復旧には当初予測よりも長い時間がかかるという。その結果、Fab 14Aではウェーハ出荷が10～50日遅れ、100K(12インチ)ウェーハの出荷は第2四半期にずれ込む見込みだ。Fab 6ではウェーハの出荷が5～20日遅れ、20K(8インチ)ウェーハの出荷が第2四半期になる。一方、Fab 14Bでの遅れはほとんどない。Fab 14は16nmおよび20nmプロセスのチップを生産しており、AppleやMedia Tek、AlteraなどがFab 14でのチップ生産を委託しているとのこと。

台南サイエンスパークでは各社の生産設備が地震発生時に自動で稼働を停止したものの、地震の影響は比較的小さかったようだ。しかし、台湾南部を生産の中心とする液晶パネルメーカーのInnoluxでは、5Gと6Gの生産設備が影響を受けており、影響を最小限にとどめるため生産の一部を台湾北部に移動するなどの措置を行うとのことだ。

あるAnonymous Coward 曰く、

標準化団体のクロノス・グループが16日、次世代グラフィックスAPI「Vulkan 1.0」の仕様を公開した(プレスリリース、 プレスリリース抄訳: PDF)。

これに合わせてAMD、Imagination、Intel、NVIDIA、Qualcomm各社が一斉に対応ドライバをリリース。Valveが出資するLunarGがWindowsとLinux向けSDK、GoogleがAndroid向けSDKを提供しているほか、各社がサンプルコードを公開している。

Vulkanは2014年7月にOpenGLの後継「glNext」として基本的な計画が発表され、2015年3月に「Vulkan」として正式発表されたもの。Vulkanの特徴は低オーバーヘッドで直接的なGPUの制御、マルチスレッド対応、デスクトップ・モバイル・組み込みプラットフォームで統一されたAPI、シェーダーのバイナリ中間表現の導入などで、現在主流となっているユニファイドシェーダでユニファイドメモリなGPUとマルチコアCPUの性能を効率よく発揮するためのローレベルAPIとなっている。

コンフォーマンスのページを見るとIntelはLinuxのオープンソースドライバで第5世代Coreプロセッサ以降、NVIDIAはWindows 7以降とLinuxでKeplerとMaxwellが対応となっている。AMDはWindows 7以降でGCN用のβドライバを公開しておりLinux向けも公開予定とのことだが、コンフォーマンスのページに見当たらないのはなぜだろう。

AgileBitsは16日、1Passwordの家族向け月額プラン「1Password for Families」を発表した(AgileBits Blogの記事、 The Vergeの記事、 9to5Macの記事、 TNW Newsの記事)。

1Password for Familiesは月額5ドルで家族5人までが使用でき、利用可能なデバイスの台数に制限はない。家族は個別の保管場所を利用できるほか、アクセス制限を設定してパスワードなどを共有することも可能だ。家族で共通して利用するサービスのパスワード変更を全員に反映させたり、家族がパスワードを忘れた場合や誤って削除した場合にリセット/復元をしたりといったことも可能となるようだ。また、ドキュメントを保存・共有可能な暗号化ストレージ領域1GBが提供され、追加料金なしに各OS用のアプリを利用できる。

最初の1か月は無料で利用できるほか、3月21日までにアカウントを作成すると無料期間がさらに2か月追加される。これに加えて、暗号化ストレージ領域は2GB、利用できる家族の人数は7人になるとのこと。

昨年12月に発生した米カリフォルニア州サンバーナディーノの銃乱射事件でサイード・ファルーク容疑者の使用していたiPhoneのデータ復元について、Appleは1月上旬からFBIに協力していたそうだ。しかし、このiPhoneで使われていたApple IDのパスワードを当局が変更したため、アクセス手段が失われたという(Ars Technicaの記事、 BuzzFeed Newsの記事、 9to5Macの記事)。

Appleでは政府が必要とするデータをバックドアなしに取得する方法として、4つの方法を提案していた。その1つはiPhoneを既知のWi-Fiネットワークに接続し、iCloudへの自動バックアップを実行させる方法だったという。iCloudに保存されたデータは令状があれば提出できる。

ファルーク容疑者はiCloudへのバックアップを事件のおよそ6週間前から実行しておらず、実際に自動バックアップが有効になっているかどうかは不明だった。いずれにしても、FBIがiPhoneを押収してから24時間以内にApple IDのパスワードがリセットされており、この方法は使えなくなってしまったとのこと。

このiPhoneの所有者はファルーク容疑者が勤務していたサンバーナディーノ郡保健局であり、FBIは保健局がiCloudのデータにアクセスしようとしてパスワードをリセットしたと述べていた(PDF)。これに対し、郡ではFBIの指示に従って行ったものだと反論している。

政府が連邦地裁に提出した文書によると、AppleとFBIが話し合っていた4つの方法(と問題点)は以下のようなもののようだ。

1. 通話記録の取得 (デバイスに保存されているデータに対して情報量が少ない)
2. iPhoneとペアリングされているコンピューターを見つける (見つからなかった)
3. iCloudへの自動バックアップを実行 (Apple IDがリセットされたので実行できない)
4. iCloudに保存されている過去のバックアップを取得 (10月19日以降のバックアップがない)