パスワードを忘れた? アカウント作成

最新から新しい日記やタレこみを確認できますよ。

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30
2021年11月28日の記事一覧(全6件)
15497938 story
Windows

Microsoft の報奨金プログラムに不満なセキュリティリサーチャー、Windowsのゼロデイ脆弱性の PoC を公開 53

ストーリー by headless
不満 部門より
Microsoft の脆弱性報告報奨金プログラムに不満を感じていたセキュリティリサーチャーの Abdelhamid Naceri 氏が Windows のゼロデイ脆弱性の PoC を公開したのだが、翌日にはこれを使用したマルウェアサンプルが検出され始めたそうだ (BleepingComputer の記事 [1][2]Cisco Talos Intelligence Group の記事Neowin の記事)。

Naceri 氏は Trend Micro の Zero Day Initiative でいくつもの脆弱性を報告しており、11 月の月例更新で Microsoft が修正した脆弱性 CVE-2021-41379その一つだ。この脆弱性は Windows Installer サービスに存在し、攻撃者はジャンクションを作成することでサービスにファイルやディレクトリを削除させることができる。脆弱性を利用して SYSTEM のコンテキストで任意コードを実行することも可能だという。

Naceri 氏が 11 月の月例更新での修正を調査したところ、バグは完全に修正されておらず、修正のバイパスが可能であることに加えてゼロデイとなる脆弱性のバリアントも発見する。そこで Naceri 氏はバイパスではなくバリアントの PoC を公開することにしたそうだ。脆弱性は CVE-2021-41379 と同様、最新のパッチをすべて適用した Windows 11 / Server 2022 を含めてサポートされる Windows 全バージョンに影響する。

PoC は Microsoft Edge Elevation Service の DACL を上書きし、それ自身をサービスの場所にコピーして実行することで昇格した権限を取得する。このサービスがない Windows Server 2016 / 2019 などでも任意のファイルを指定して権限の昇格が可能なようにしてあるとのこと。

脆弱性はその複雑さからバイナリに直接パッチを当てると Windows Installer が機能しなくなる可能性も高く、Naceri 氏は Microsoft の修正を待つのが最も安全な対策だと述べている。ゼロデイ脆弱性を公表した理由について、Naceri 氏は Microsoft の報奨金プログラムが 2020 年 4 月に大幅劣化したと述べ、それがなければゼロデイを公表することもなかったと BleepingComputer に説明したそうだ。

Cisco Talos によれば、マルウェアサンプル数の少なさから見て現時点では本格的な攻撃キャンペーンに向けた準備を行っている段階とみられるが、攻撃者が入手可能になったエクスプロイトの悪用を始めるまでに要する時間がわずかであることを示すものとのことだ。
15498023 story
Twitter

Twitter、視聴しながらショッピングできるライブストリーミング「Live Shopping」を発表 10

ストーリー by headless
通販 部門より
Twitter は 22 日、商品を紹介するライブストリーミングを視聴しながらショッピングができる Live Shopping を発表した (Twitter のブログ記事Walmart のツイートMashable の記事)。

Live Shopping のテストは Walmart とのコラボレーションによって行われており、日本時間 11 月 29 日 9 時には実際に商品を購入可能な初の Live Shopping ショー@Walmart で行われる。ジェイソン・デルーロが出演する 30 分間のショーはデスクトップおよび iOS で視聴可能で、デルーロが電気製品などさまざまな製品を紹介するほか、サプライズゲストの出演もあるとのことだ。
15498115 story
マイクロソフト

カトリックのシスター、Microsoft に株主提案 29

ストーリー by headless
提案 部門より
ローマカトリックの女性修道会 Congregation of the Sisters of St. Joseph of Peace (CSJP) が Microsoft のポリシーに関し、2 件の株主提案を行っているそうだ (The Next Web の記事Protocol の記事CSJP Sisters のツイート動画)。

CSJP は平和のための社会活動を行うほか、株主として企業の意思決定に関与する活動を数十年にわたって行っているという。今回 CSJP は Microsoft に対し、1) Microsoft が主張する人権や環境の取り組みに反するロビー活動を行わないこと (PDF)、2) すべての政府機関に対する顔認識技術の提供を取りやめること (PDF)、の 2 件を株主提案しており、11 月 30 日の株主総会で採決が行われるとのことだ。
15498188 story
医療

SARS-CoV-2 変異株 B.1.1.529 の名称はオミクロン株に、デルタ株以来の懸念される変異株 78

ストーリー by headless
変異 部門より
ある Anonymous Coward 曰く、

世界保健機関 (WHO) は 11 月 26 日、SARS-CoV-2 (新型コロナウイルス) の変異株「B.1.1.529」に「オミクロン」株と命名すると発表した (ニュースリリース)。

カテゴリは最も警戒レベルの高い「懸念される変異株」 (VOC: variant of concern)。VOC となった変異株はアルファ、ベータ、ガンマ、デルタに次ぐ 5 番目となる。

変異株はミュー (μ) まで命名されていたので次はニュー (ν) かと思われたが、クサイ (ξ) と共に飛ばされた。飛ばされた理由について、ニューは同じ発音の New との混同を避けるため、クサイは特定の地域との混同を避けるためだとされるが、クサイ (Xi) は中国の習近平国家主席の「習」と同じ綴りなのでそれを避けるためという見方も出ている (朝日新聞GLOBE+ の記事New York Post の記事)。

タレコミ時点で命名された変異株のカテゴリは以下の通り

  • 「懸念される変異株」:アルファ、ベータ、ガンマ、デルタ、オミクロン
  • 「注目すべき変異株」:ラムダ、ミュー
  • 過去に「注目すべき変異株」だった「監視すべき変異株」:カッパ、イオタ、イータ
  • 過去に「注目すべき変異株」だったが除外された変異株:イプシロン、ゼータ、シータ
15498252 story
Google

乗っ取られた Google Cloud インスタンスの大半が暗号通貨の採掘に使われる 30

ストーリー by headless
採掘 部門より
Googleによれば、攻撃者に乗っ取られたGoogle Cloud インスタンスの大半が暗号通貨採掘に使われることになるそうだ (Google - Threat Horizons November 2021 Issue 1Neowin の記事The Guardian の記事)。

Google の 2021 年 11 月版 Threat Horizons によると、乗っ取り被害にあった直近の 50 インスタンスのうち、86 % が暗号通貨採掘に使われていたという。また、10 % がインターネット上の他のターゲットするポートスキャンを、8 % が攻撃を実行していたそうだ。このほか、6 % がマルウェア、4 % が不正コンテンツをホストし、DDoS ボットの実行やスパムの送信に使われるものもそれぞれ 2 % あったとのことだ。
15498255 story
暗号

Collins Dictionary が選ぶ 2021 年を代表する言葉は「NFT」 40

ストーリー by headless
代表 部門より
Collins Dictionary は 11 月 24 日、2021 年を代表する言葉「Word of the Year 2021」として「NFT」を選んだと発表した。 (Collins Dictionary Language Blog の記事Neowin の記事Mashable の記事Ars Technica の記事)。

NFT は Non-Fungible Token (代替不可能なトークン) の頭字語で、Collins Dictionary では略語として「アートワークやコレクターズアイテムの所有者を示すためにブロックチェイン上に記録されたユニークなデジタル証明書」、名詞として 「NFT によりその所有権が記録された資産」と定義している。2021 年はインターネットミームなどが NFT としてオークションに出品され、高額で落札されて注目を集めた。

新語 7 つを含む 10 の 2021 年を代表する言葉のショートリストでは、テクノロジー関連用語 として NFT のほかに「metaverse (名詞: メタバース)」と「crypto (名詞、口語: 暗号通貨 cryptocurrency の短縮形)」が含まれているとのこと。そのほかショートリストに残った言葉は以下の通り。
  • double-vaxxed (形容詞、口語) : ある疾病に対するワクチンを2回接種した
  • hybrid working (名詞) : 自宅とオフィスなど複数の異なる環境で交互に仕事をすること
  • pingdemic (名詞、口語) : (COVID-19) 接触通知アプリにより広範囲の人々に送られる通知
  • climate anxiety (名詞) : 気候変動への懸念により苦痛を感じている状態
  • neopronoun (名詞) : 最近作られた代名詞、特に「xe」「ze」「ve」などジェンダーの明示を避けるよう作られたもの
  • Regencycore (名詞) : テレビドラマ「ブリジャートン家」でみられる英摂政時代 (1811~1820) の上流階級の衣服をイメージした服装
  • cheugy (形容詞、スラング) : 以前はかっこいい・ファッショナブルだと考えられていたが、今はそうではなくなっているもの
typodupeerror

日本発のオープンソースソフトウェアは42件 -- ある官僚

読み込み中...