パスワードを忘れた? アカウント作成

あなたのタレコミがスラドを支えます。さぁ、タレこめ!

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30
2021年6月26日の記事一覧(全9件)
15330103 story
医療

ワクチン接種で特定成分入り解熱鎮痛剤が品不足化。厚労省が服用可能な解熱鎮痛剤成分を明示へ 81

ストーリー by nagazou
明示 部門より

ワクチン接種後に起きる発熱に関して、一部メディアなどでアセトアミノフェンを含む市販の解熱剤を推奨するような報道があったことから、ドラッグストアなどでアセトアミノフェン入りの解熱剤が品薄になる現象が起きていたという。このため厚生労働省は、「新型コロナワクチンQ&A」の中で服用できる解熱鎮痛剤の成分を示すことにしたそうだ(NHKJ-CAST東京新聞)。

新型コロナワクチンQ&A上の「ワクチンを受けた後の発熱や痛みに対し、市販の解熱鎮痛薬を飲んでもよいですか。」では現在、

市販されている解熱鎮痛薬の種類には、アセトアミノフェンや非ステロイド性抗炎症薬(イブプロフェンやロキソプロフェン)などがあり、ワクチン接種後の発熱や痛みなどにご使用いただけます。(アセトアミノフェンは、低年齢の方や妊娠中・授乳中の方でもご使用いただけますが、製品毎に対象年齢などが異なりますので、対象をご確認のうえ、ご使用ください。)

という記載になり、イブプロフェンやロキソプロフェン入りも問題ないことが示されている。たたこの表現だとアセトアミノフェン入りの方がいいんじゃないかと取られかねない気もしないでもない。

15330047 story
アナウンス

オープンソース・ソフトウェアの紹介サイト、MOONGIFTが7月で更新停止 14

ストーリー by nagazou
お疲れさまでした 部門より
オープンソース・ソフトウェアをほぼ毎日紹介してきた「MOONGIFT」は24日に、7月16日でサイトの更新を停止する方針を発表した。発表記事によるとMOONGIFTは2001年1月29日から運営を開始、現在までの20年間に1万6000本以上のソフトウェアを紹介してきたという。しかし2015年に、執筆者がDevRelをサポートするビジネスを開始したことが転機になったようだ。MOONGIFTとDevRelをの両輪で活動を続けるのではなく、企業ならびに事業経営者としてDevRelに注力するべきだと判断したことから更新停止を決めたとしている。これまでの記事に関しては将来的に静的コンテンツ化する予定だとしている(MOONGIFT更新停止のご連絡)。
15329920 story
アナウンス

NITE、充電式の携帯型扇風機の発火事故などの爆発事故などを警告 39

ストーリー by nagazou
あの爆発の仕方は怖いわ 部門より
製品評価技術基盤機構(NITE)は24日、最近利用の増加している充電式の携帯用扇風機について、落とすなど強い衝撃が加わった場合、発火するリスクがあるとして注意を促す警告を行った(製品評価技術基盤機構損傷バッテリーが破裂した事故の再現動画NHK)。

携帯用扇風機の内部には衝撃に弱いリチウムイオンバッテリーを内蔵したものが増えており、落下後に外観的には損傷がなくとも、バッテリーが破裂することなどがあるとしている。携帯用扇風機の損傷したバッテリーが破裂する様子などについていも動画にして公開している。また携帯用扇風機を一般ごみとして廃棄し、ごみ収集車やごみ処理場などで発火するトラブルも増加しているとしている。
15330030 story
ハードウェア

AMラジオ局が消える前に。カッターの刃と鉛筆で『塹壕ラジオ』を作るという記事 66

ストーリー by nagazou
教材ラジオからAMが消えるのか 部門より
先日、民放AMラジオ局がFM局に転換する方針が発表された。発表通りFM局への転換が行われると、学校の科学実験などで使われきた鉱石ラジオも聞けなくなる。そこでデイリーポータルZの記事では、鉱石ラジオの一種として第二次世界大戦中に兵士に愛用された「塹壕ラジオ」を今のうちに作っておこうという流れになったようだ(デイリーポータルZ受信時の様子[動画])。

記事では100円ショップで購入したカッターの刃と鉛筆に加えて、秋葉原でその辺では入手しにくい100m以上の銅線(1500円)とセラミックイヤホン(クリスタルイヤホン)を購入、塹壕ラジオを作ってみたそうだ。しかし、ビル内ではうまく聞こえなかったことから専門家の意見を聞き、電波塔に近い場所まで行って挑戦したところ受信に成功したとのこと。
15331076 story
idle

今年で50周年の京王プラザホテルとカップヌードル、カップヌードル料理をレストランで提供するコラボ企画 19

ストーリー by headless
企画 部門より
東京・新宿の京王プラザホテルが6月5日に50周年を迎えたことを記念し、9月18日に発売50周年を迎えるカップヌードルとのコラボ企画「京王プラザホテル×カップヌードル 50 周年記念コラボ」を7月1日から8月31日まで実施する(特設ページニュースリリース: PDFFOODBEASTの記事)。

期間中は和洋中のホテルシェフが「カップヌードル8福神」と呼ばれる8種類のカップヌードルをホテルの味に仕上げたスペシャルメニューや、バーテンダーがカップヌードルをアレンジしたカクテルを館内レストラン・バー5店舗で提供するという。主なメニューは謎肉料理やカップヌードル炊き込みご飯、冷製カップヌードルなど。ディナーとカクテルを存分に楽しめる宿泊プランも用意される。京王プラザホテルが50年かけてついに見つけた最高の食材はカップヌードルとのこと。

一方、日清食品ではカップヌードルTwitterアカウントをフォローして該当投稿をリツイートすると京王プラザホテルの1泊50円ペア宿泊券(カップヌードル50個食べ放題付き)が50人に当たるキャンペーンを実施している。キャンペーン期間は6月28日23時59分まで。応募資格は日本国内在住者限定で、宿泊可能期間は8月16日~11月15日となる(キャンペーン告知)。
15331207 story
Python

PyPI で暗号通貨採掘マルウェアを含む悪意あるパッケージが見つかる 24

ストーリー by headless
検出 部門より
Python パッケージの公式リポジトリ PyPI で見つかった暗号通貨採掘マルウェアを含む6つのパッケージについて、発見した Sonatype が解説している(Sonatypeのブログ記事Ars Technicaの記事)。

暗号通貨採掘マルウェアは Sonatype のマルウェア検出ツール Release Integrity により発見されたもので、「maratlib」「maratlib1」「matplatlib-plus」「mllearnlib」「mplatlib」「learninglib」の6本。いずれも同じ作者により早ければ4月に PyPI で公開されており、PePyによればSonatypeのブログ記事公開時点で合計5,000回近くダウンロードされている。

うち5本は「maratlib」との依存関係が設定されており、「maratlib」のダウンロード回数が2,371回と最も多い。また、「matplatlib-plus」と「mplatlib」は「matplotlib」の誤入力によりダウンロードさせるタイポスクワッティングを狙ったものとみられ、「matplatlib-plus」のダウンロード回数は913回で「maratlib」に次ぐ多さとなっている。

「maratlib」は激しく難読化されているが、最終的には作者の GitHub リポジトリから暗号通貨採掘 Bash スクリプトをダウンロードして実行する仕組みになっていたとのこと。

PyPIでは2017年にもタイポスクワッティングを狙った悪意ある偽パッケージが発見されているが、その後も悪意あるパッケージの新規公開が続いているようだ。Release Integrity は元々 npm に注力してきたが、この数週間 PyPI パッケージを対象に試験運用したところ、3,157本以上の悪意あるパッケージが見つかったとのことだ。
15331270 story
バグ

Dell の BIOS に脆弱性、129機種が影響を受ける 8

ストーリー by headless
更新 部門より
Dell は24日、BIOS 搭載の機能で発見された4件の脆弱性と影響を受ける129機種のリストを公表した(DSA-2021-106Eclypsium のブログ記事Phoronix の記事BetaNews の記事)。

CVE-2021-21571 は Dell の BIOSConnect 機能と HTTPS Boot 機能が利用する UEFI BIOS の HTTPS スタックに存在する不適切な証明書検証の脆弱性だ。リモートの認証されていない攻撃者が中間者攻撃を利用して脆弱性を悪用することで、サービス拒否およびペイロードのタンパリングにつながる可能性がある。

CVE-2021-21572 / CVE-2021-21573 / CVE-2021-21574 は BIOSConnect 機能に存在するバッファーオーバーフローの脆弱性だ。ローカルでシステムにアクセス可能な認証されたユーザーがこの脆弱性を悪用することで、UEFI による制限を迂回して任意コードの実行が可能になる。

BIOSConnect は SupportAssist OS Recovery 機能を利用して BIOS 更新と OS の復旧を行う機能で、影響を受けるのは BIOSConnect 搭載機種の一部だという。HTTPS Boot は UEFI の HTTP Boot を利用してシステムを HTTP(S) サーバーからリモートブートする機能で、搭載機種は少ない。影響を受ける129機種のうち、HTTPS Boot を搭載しているのは46機種となっている。

いずれの脆弱性を悪用する場合も攻撃者は事前にユーザーのネットワークへ侵入し、Dell UEFI BIOS が信頼する証明書を取得するなどの準備が必要となり、システムに物理的アクセス可能なユーザーが各機能を使用するのを待つ必要があるとのこと。

CVE-2021-21573/CVE-2021-21574に関しては5月28日にサーバー側で修正が行われており、ユーザーが必要な操作はない。CVE-2021-21571/CVE-2021-21572に関しては BIOS 更新が必要となる。6月24日までに影響を受ける129機種すべてに対策版の BIOS 更新が提供されている。

Dellのプリインストールソフトウェアファームウェア更新プログラムではたびたび脆弱性が発見されているが、今回の脆弱性の影響を受けるのはWindowsに限らない。特にセキュアブートを無効化している場合は影響が大きくなるとのことだ。
15331272 story
ストレージ

Western Digital の古い NAS、リモートから攻撃を受けて初期化される 40

ストーリー by headless
古漬 部門より
Western Digital の古い NAS、WD My Book Live および WD My Book Live Duo が未修正の脆弱性(CVE-2018-18472)を突かれ、リモートからファクトリーリセットを実行されてデータがすべて消えたとの報告が複数出ている(セキュリティアドバイザリー WDC-21008BleepingComputer の記事Ars Technica の記事The Register の記事)。

両製品は2010年~2012年に発売され、2014年に販売終了しており、最後にファームウェアが更新されたのは2015年のことだという。CVE-2018-18472はリモートから root としてコマンドを実行可能な脆弱性で、2018年に報告され、PoC も公開されている。しかし、Western Digital は報告者に対し、ファイアーウォールでリモートからのアクセスを防ぎ、ローカルネットワーク内の信頼されたデバイスのみがアクセスできるようにするなどの対策を提示するにとどまった。

今回 Western Digital では問題を調査していると述べる一方、現時点ではインターネットから両製品を切り離すことを推奨している。
15331275 story
変なモノ

Google、連続殺人犯に関するナレッジパネルに同姓同名の別人の写真を掲載 43

ストーリー by headless
別人 部門より
Googleがスイスのソフトウェアエンジニアを同姓同名のブルガリアの連続殺人犯と取り違え、検索結果のナレッジパネルに顔写真を掲載していたそうだ(Hristo Georgiev 氏のブログ記事The Next Webの記事Search Engine Journal の記事)。

連続殺人犯と間違われたのは Hristo Georgiev 氏。元同僚から知らせを受けた Georgiev 氏は当初、誰かが自分をからかおうとしているのではないかと思ったそうだ。しかし、ナレッジパネルに記載されている情報元の Wikipedia 記事に顔写真はなく、Google のアルゴリズムが誤って連続殺人犯と Georgiev 氏の顔写真を関連付けてしまったらしいことがわかる。

ただし、同姓同名の人は他にも数多く、Georgiev 氏だけが抽出された理由は不明だ。実際に画像検索結果では Georgiev 氏以外の同姓同名の人物の顔写真も多数表示される。また、この連続殺人犯は1980年に射殺されており、ナレッジパネルには死亡日が記載されているが、なぜか存命中のように現在の年齢も記載されている。

Georgiev 氏はこの間違いを友人と共有して少し楽しんだが、何十億人という人が使用するアルゴリズムが容易に情報を歪められることは恐ろしいことだと実感したとのこと。Georgiev 氏は問題を Google に報告しており、既に顔写真の間違いは修正されている。
typodupeerror

人生unstable -- あるハッカー

読み込み中...