パスワードを忘れた? アカウント作成

スラドのストーリを選ぶための補助をお願いします。

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31
2020年1月11日の記事一覧(全8件)
14086256 story
Google

GoogleのProject Zero、バグ開示の新ポリシーをテスト 15

ストーリー by hylom
緩和 部門より

headless曰く、

GoogleのProject Zeroが1月1日以降ベンダーに報告したバグについて、開示ポリシーの変更をテストしているそうだ(Project ZeroのブログThe VergeSoftpediaAndroid Police)。

これまでProject Zeroではパッチが迅速に開発されることを目標としており、ベンダーへの報告から90日後またはパッチ提供開始のいずれか短い期間経過後にバグを開示していた。2015年には報告から90日以内にパッチは完成したものの、提供開始が間に合わない場合などに限って14日間の猶予期間を追加できるようになっている。ただし、いずれの場合もパッチ提供開始時点でバグの詳細やPoCが公開されてしまうため、パッチが不完全であった場合に引き起こされる問題や、パッチ未導入のユーザーを危険にさらすといった問題があった。

1月1日からテストしている新ポリシーではパッチの迅速な開発のほか、徹底的にバグが修正されること、パッチがユーザーに浸透することを目標に加えている。そのため、パッチ公開済みかどうかにかかわらず、バグの開示は報告から90日後になる。ただし、猶予期間内に関しては、これまでパッチの公開からしばらくしてバグを開示することになっていたが、新ポリシーでは即時開示となる。また、パッチに不完全な部分が見つかった場合はベンダーに報告し、既存のバグリポートに追記されるが、バグリポートが既に公開されている場合はパッチの問題点もその時点で開示されることになるようだ。

なお、既に攻撃が確認されているバグについてはこれまでと同様、報告から7日後に開示される。新ポリシーのテストは12か月間にわたって行われ、その結果を踏まえて今後のポリシーを検討するとのことだ。

14086274 story
Facebook

欧州の当局がテロ容疑者追跡にスパイウェアを使用、WhatsAppがこれを警告するメッセージを出す 3

ストーリー by hylom
まともな対応 部門より

taraiok曰く、

欧州の法執行機関のチームは10月、クリスマスシーズン中のテロを恐れ、テロリスト容疑者の調査を強化していた。そんな中、Facebookのメッセンジャーアプリ「WhatsApp」は10月29日、約1,400人のユーザーに対し端末に高度な攻撃が行われた旨を通知した。この1,400人はジャーナリスト、活動家、政府関係者などを含むテロリスト容疑者に上がっていたユーザーだったという(MorningStarSlashdot)。

この法執行機関チームは、イスラエル・NSOグループのスパイウェアを使用して容疑者を追跡していたとされる。欧州の裁判官は容疑者の電話に侵入するため、調査官に対して利用可能なあらゆる手段を承認した。しかし、このスパイウェアはFacebookには知られていなかったようだ。また、法執行機関の調査を妨害する可能性があることから、Facebookは政府機関に対し正式に苦情を申し立てることもできない状況になっているという。

NSOは中東、メキシコ、インドの政府機関にもスパイウェアを販売していたため批判されている。Facebookや人権研究グループのCitizen Labなどは、反体制派、宗教指導者、ジャーナリスト、政治的敵対者をスパイするためにスパイウェアを使用したと主張している。NSO側は、顧客のほとんどは犯罪やテロの調査に自社製品を使用する民主的な政府だと述べている。

14086279 story
宇宙

Ia型超新星の明るさは一定ではない? ダークエネルギーの存在を否定する論文が登場 51

ストーリー by hylom
果たして 部門より

Anonymous Coward曰く、

明るさが一定のため、遠方の銀河までの距離を測る物差しとして使われてきたIa型超新星だが、実はこの明るさが一定ではない可能性があることを示す研究結果が発表された(星が好きな人のための新着情報「ダークエネルギー」は宇宙を支配していない?PHYS.ORG論文)。

この研究が正しければ、2011年にノーベル物理学賞を取った宇宙の加速膨張が否定され、ダークエネルギーを仮定する必要もなくなるかもしれないという。事実なら凄い話だが、果たして如何に?

14086727 story
お金

ランサムウェア被害にあった外貨両替サービス大手Travelex、店頭では手書きの伝票で対応 2

ストーリー by headless
対応 部門より
外貨両替サービスTravelexは12月31日にランサムウェア感染が判明して全システムをオフラインにしたが、コンピューターなしで業務を継続するため店頭では手書きの伝票で対応しているそうだ(The Guardianの記事The Registerの記事The Vergeの記事The Next Webの記事)。

Travelexの米国版Webサイトのトップページに掲載された7日付のプレスリリース(Internet Archiveのスナップショット)によると、ランサムウェアはSodinokibiまたはREvilとして知られるもので、Travelexは感染拡大を食い止めることに成功しているという。これにより、一部のデータは暗号化されたものの、構造化された顧客データは暗号化されておらず、データが外部に送信された形跡はみつかっていないとのこと。一方、攻撃者が600万ドルの身代金を要求し、支払わなければ5GB分の個人情報を公開すると脅しているとBBC Newsが報じている。

Travelexはランサムウェアのエントリーポイントを公表していないが、SodinokibiはPulse Secure製VPNサーバーの脆弱性を利用して感染を広げているという。セキュリティ調査企業Bad PacketsはTravelexの使用しているVPNサーバーの脆弱性が未修正であることを昨年9月に通知したものの、Travelexからの応答はなかったとのこと。

Travelexの日本版Webサイトは9日の時点でトップページなど一部のページが不安定ながらもアクセス可能だったが、その後トップページは今回のランサムウェア被害の報告とサービスの提供状況を説明する内容に差し替えられている。
14086730 story
Safari

ボーイング737 NGで特定の滑走路へ計器進入する際にのみ発生する問題が確認される 85

ストーリー by headless
限定 部門より
ボーイング737 NGで特定の滑走路へ計器進入する際にのみ、ディスプレイユニット(DU)の液晶パネル6枚すべての表示が消えてしまうバグが確認され、米連邦航空局(FAA)が12月27日付で耐航空性改善命令(AD)を出していたそうだ(ADThe Registerの記事)。

FAAは昨年、アラスカ・ワイリーポスト-ウィルロジャースメモリアル空港に真西方向へ計器進入するとDUの表示がすべて消え、他の滑走路を選択するまで復旧しなかったというインシデント3件の報告を受けていたそうだ。調査の結果、ディスプレイエレクトロニックユニット(DEU)とフライトマネージメントコンピューター(FMC)で、特定のバージョンのソフトウェアの組み合わせにより発生する動作だと確認された。ボーイングはソフトウェアの修正を進めているという。

影響を受けるのは全世界で7か所(米国5、コロンビア1、ガイアナ1)のみ。7か所とも西向きに進入する滑走路だが、西向きに進入する滑走路のすべてが影響を受けるわけではなく、緯度と経度の値が原因として特定されている。該当の空港に向かう定期運航便の機材では既に問題のあるDEUのソフトウェアが削除されているが、FAAでは緊急着陸やボーイングビジネスジェットのフライトに対処するためにADを出したとのことだ。
14086736 story
Android

スパイウェア疑惑が報じられたアプリToTok、Google Playに復活 4

ストーリー by headless
復活 部門より
ToTokチームは5日、通話・メッセンジャーアプリ「ToTok」がGoogle Playで再び入手可能になったことを発表した(ToTokのニュース記事The Vergeの記事Android Policeの記事Computingの記事)。

ToTokに関しては12月、UAE政府のスパイウェアだとの疑惑The New York Timesが報じており、Google PlayとAppleのApp Storeでは報道よりも前にToTokが削除されていた。一方、ToTok側は疑惑を一貫して否定している。12月29日付のKhaleej Timesの記事ではToTok共同設立者のGiacomo Ziani氏が独占インタビューに答え、UAEに対する陰謀に巻き込まれたと感じていることや、急速にユーザーを増やしていることに対する妬みもあって疑惑が作り上げられた可能性を指摘。疑惑を主張する人々が元NSA職員に分析を依頼した結果、スパイウェアではなく、バックドアやマルウェアも見つからなかったと結論付けられたとも述べている。アプリの再公開については、ホリデーシーズンでAppleとの話し合いは進んでいないとしつつ、Google Playではすぐにでも公開が再開されるとの見通しを示していた。
14086901 story
Google

Google、欧州経済領域でAndroid初回起動時に選択可能な検索プロバイダーを発表 17

ストーリー by headless
落札 部門より
Googleは欧州経済領域(EEA)でAndroid初回起動時に入札で決定した検索プロバイダーの選択画面を提示する計画を示していたが、その第一回の入札結果が公表された(Android Choice Screen WinnersVentureBeatの記事The Vergeの記事Neowinの記事)。

落札数が最も多かったのは米DuckDuckGoと米Info.comで、31か国すべてで落札した。これに米PrivacyWallが11か国、フランスのQwantが8か国、ロシアのYandexが5か国で続く。このほか、ドイツのGMXがオーストリア・ドイツ・オランダの3か国で、デンマークのGiveroがデンマークのみ、チェコのSeznamがチェコとスロバキアの2か国で落札しており、これら3社はターゲットを絞り込んで入札したとみられる。米Bingは英国のみ落札となっている。

Googleは31か国すべてで選択画面に表示されるため、選択肢としてはGoogle・DuckDuckGo・Info.comが常に表示され、国ごとに異なる検索プロバイダーは1つだけということになる。なお、当初の発表では1年ごとに入札が行われるとされていたが、今回の対象期間は2020年3月1日~6月30日となっている。
14086904 story
Firefox

Firefox 72、リリース翌日にゼロデイ脆弱性修正版がリリースされる 22

ストーリー by headless
修正 部門より
Mozillaは7日にFirefox 72.0をリリースしたが、翌8日にはゼロデイ脆弱性を修正するFirefox 72.0.1をリリースしている(MozillaのセキュリティアドバイザリーSoftpediaの記事Ars Technicaの記事Windows Centralの記事)。

修正された脆弱性CVE-2019-17026はIonMonkey JITコンパイラーにおける誤ったエイリアス情報により型の取り違えが引き起こされるというもので、既にこの脆弱性を狙った攻撃が確認されているという。同じ脆弱性を修正したFirefox ESR 68.4.1も同時にリリースされた。深刻度は最も高い「critical」となっており、迅速なアップデートが望ましい。

Firefox 72では新機能として、フィンガープリンティングを実行するスクリプトがデフォルトでブロックされるようになっており、Webサイトからの通知リクエストポップアップもデフォルトで非表示化される。また、WindowsではFirefox 71から利用できていた動画のピクチャーインピクチャー表示がMacとLinuxでも利用可能になった。ちなみに、Googleも通知リクエストポップアップの非表示化機能をChrome 80に搭載する計画を発表している。

なお、Mozillaはカリフォルニア州消費者プライバシー法(CCPA)の施行に伴い、Firefox 72にテレメトリーデータの削除オプションを追加すると事前に説明していたが、リリースノートには記載されていない。
typodupeerror

一つのことを行い、またそれをうまくやるプログラムを書け -- Malcolm Douglas McIlroy

読み込み中...