パスワードを忘れた? アカウント作成
15032384 story
Google

GoogleのProject Zero、6月の更新プログラムで完全に修正されていなかったWindows 10の脆弱性を公表 51

ストーリー by headless
公表 部門より
GoogleのProject Zeroは23日、Windows 10のプリンタードライバーホスト「splwow64.exe」に存在する未修正脆弱性を公表した(Project Zero - Issue 2096Neowinの記事HackReadの記事Bleepng Computerの記事)。

この脆弱性は整合性レベル(信頼性)の低いプロセスがsplwow64(整合性レベル「中」)にLPCメッセージを送ることで、splwow64のメモリ空間に任意のデータを書き込めるというものだ。これにより、ローカルでの特権昇格が可能になる。もともとMicrosoftはCVE-2020-0986としてsplwow64の脆弱性6月に修正していたが、完全には修正されていなかったそうだ。CVE-2020-0986との違いとしては、ポインタの代わりにオフセットを送信する点だという。

Project Zeroでは9月24日にMicrosoft Security Response Center(MSRC)へ報告し、脆弱性にはMSRC-61253/CVE-2020-17008が割り当てられた。MSRCは12月の月例更新で修正する計画を示していたが、テストで問題が見つかったため修正は1月に延期される。12月23日で90日の開示期限を迎えることから14日間の猶予期間追加についてMSRCとProject Zeroは協議したが、Microsoftが期間内のパッチ提供を計画していない(次の月例更新は2021年1月12日)ため、猶予期間の追加は行われなかったとのことだ。
13968087 story
Windows

Microsoft EdgeのSmartScreen、ユーザーのセキュリティ識別子をサーバーに送信 60

ストーリー by headless
識別 部門より

Microsoft Edge (Spartan)のSmartScreenがアクセス先のフルURLなどに加え、WindowsにログインしたユーザーのSID(セキュリティ識別子)もサーバーに送信していることが発見された( Matt Wall氏のツイートBleeping Computerの記事BetaNewsの記事Softpediaの記事)。

SmartScreenが送信するアクセス先サイトのURLはハッシュ化されていないものの、プライバシー保護のためSSL接続で暗号化して送信すると以前から説明されている。このほか、OS/ソフトウェアバージョン、ダウンロードしたファイルの情報などを送信することもドキュメントには記載されているが、SIDに関する記載はない。SIDの送信は匿名の統計情報を送信するとの説明にも反する。なお、ChromiumベースのMicrosoft Edgeプレビュー版ではSIDが送信されないとのことだ。

13960708 story
テレビ

9月放送開始の「令和ライダー」第1弾はAIがテーマ、情報学研究所が企画協力・監修 74

ストーリー by hylom
ちゃんと監修が入るなら安心 部門より

nemui4曰く、

9月1日に放送が開始される「仮面ライダー」シリーズ最新作「仮面ライダーゼロワン」のテーマは「人工知能(AI)」になるそうだ。「仮面ライダーゼロワン」に変身する主人公はAI企業の社長という設定で、敵もIT技術やAI技術を持つ組織になるという(映画ナタリー)。

プログラムを仕込んだアイテム(?)でフォームチェンジとかパワーアップするんでしょうね。そして、AIサポートメカやAIライダーや、暴走AIが敵になったり味方になったりするんだろうなぁ(安易な想像)。エグゼイド召喚したり、ポッピーっぽい美少女AIキャラも出ないかと期待。

また、本作は国立情報学研究所が企画協力・監修を行うことも発表された(国立情報学研究所の発表、同研究所の佐藤一郎教授のTweet)。

13955997 story
テクノロジー

ロシアがスホーイに第5世代戦闘機Su-57量産型を正式発注、オールフライング双垂直尾翼(傾大)採用 68

ストーリー by hylom
ついに 部門より

ロシアの航空機メーカー・スホーイが、ロシアから戦闘機「Su-57」の発注を正式に受けたとのこと(おたくま経済新聞Новость ОАК)。

Su-57は米軍などで採用されているF-22よりも高性能であるとロシアは主張しているという(Business Insider JAPAN)。また、調達コストも安いとされている。これについてはロシア特有の事情もあるようだ(航空万能論GF)。

13939954 submission
テレビ

TVドラマ「わたし、定時で帰ります。」をネタにNYタイムスやSlashdotで日本の労働環境が話題に

タレコミ by Anonymous Coward
13934719 story
広告

Google曰く、Chrome拡張機能プラットフォームの新マニフェストは広告ブロックをより安全にする 24

ストーリー by headless
安全 部門より
広告ブロック拡張機能の動作を制限するものだと批判されているChrome拡張機能プラットフォームのマニフェスト新バージョンManifest V3について、広告ブロックをだめにするのではなく、より安全にするものだとChrome拡張チームのDevlin Cronin氏が説明している(Google Security Blogの記事VentureBeatの記事The Registerの記事Neowinの記事)。

Manifest V3のドラフトではブロッキング用途でのWeb Request API使用が非推奨(かつ制限される可能性あり)となり、ブロッキング用にはDeclarative Net Request APIが新たに追加される。Web Request APIによるブロッキングではページコンテンツを受け取った拡張機能が広告を除去するのに対し、Declarative Net Request APIでは拡張機能からブロッキング処理内容を受け取ったChrome側が広告を除去することになる。これにより処理は高速化するが、複雑なブロッキングアルゴリズムは使用できなくなる。ルールの数も3万件に制限され、現在広く使われているルール(EasyListだけでも7万件を超える)をすべて使用できない点も批判されている。また、5月下旬にはChrome拡張開発者支援を担当するSimeon Vincent氏が企業ユーザーにはWeb Request APIのブロッキング機能を引き続き提供すると述べたことも批判の対象となった。

Cronin氏はブロッキングをWeb Request APIからDeclarative Net Request APIへ移行すべき理由としてパフォーマンス向上に加え、プライバシーの改善を挙げている。Web Request APIではユーザーの個人情報を含む可能性のあるページコンテンツへのアクセス許可を拡張機能へ与える必要がある。一方、Declarative Net Request APIでは拡張機能のリクエストに応じてChrome側でブロッキングを実行するため、拡張機能に個人情報へのアクセス許可を与える必要がなくなるとのこと。なお、ブロッキングルールについては、グローバルで最大15万件に拡大する計画をChromiumブログでVincent氏が明らかにしている。
13779536 story
政府

自動車関連税制の見直し、走行距離に応じた課税も検討? 114

ストーリー by hylom
単に増税になるだけの気も 部門より

政府が自動車関連税制の見直しを検討しているという。まだ具体的な詳細は出ていないものの、走行距離に応じて課税するという話も出ているようだ(毎日新聞朝日新聞carview!)。

現在の自動車関連税制では、取得時に課せられる自動車取得税と排気量に応じて毎年課せられる自動車税、車検時に課せられる自動車重量税があるが、自動車税は恒久的な減税、自動車取得税は一時的な減税、自動車重量税についてはエコカー減税の範囲を絞って増税、という方針のようだ。一部報道では走行距離に応じた課税という話も出ているが、こちらは新たな税が導入されるのか、それとも既存の税を変更する形になるのかは不明。

13523084 story
スポーツ

大田区の町工場が作った「下町ボブスレー」、性能不足を理由にジャマイカ代表が利用を拒否 235

ストーリー by hylom
そう簡単に先駆者に勝てるものではなかったか 部門より
あるAnonymous Coward曰く、

「大田区の町工場が協力して作った」とのふれこみで注目を集めた「下町ボブスレー」だが、平昌五輪で使用契約を結んでいたジャマイカ女子チームが使用を拒否し、オリンピックでの初滑走をまたもや逃した模様(朝日新聞)。

ジャマイカチームは昨年12月のワールドカップで輸送トラブルで会場に届かなかった「下町ボブスレー」の代わりにラトビア・BTC社製のボブスレーを使用。驚異的に記録が伸びたのを契機に五輪本番でもラトビア製ボブスレーの使用を決めた。

下町ボブスレープロジェクトは2011年に開始され、町工場の高い技術力を示そうと内外のチームにソチ・平昌五輪での使用を目標に提供のオファーを続けてきたが、日本チームには採用されず、ジャマイカチームが初の採用を決め平昌オリンピックで初の使用が見込まれていた。

なお下町ボブスレープロジェクトはジャマイカボブスレー連盟に対して違約金6800万円を求める訴訟を起こす模様。

個人的にはスカイマークエアラインが下町ボブスレーのラッピングジェット機を運行させているのがなんというかタイミングが悪くてかわいそうだと思う。

ジャマイカ女子ボブスレーチームはギリギリまでラトビア製のものと日本製のものを比較していたようだが、最終的にBTC製のものが優れていると判断したようだ(日経新聞)。BTC社はソビエト連邦時代の1980年代からボブスレーを手がけており、多くの国が同社のボブスレーを採用しているという。

13446940 story
Perl

Stack Overflow調べ、最も嫌われているプログラミング言語はPerl 150

ストーリー by headless
評価 部門より
Stack Overflowによれば、開発者に最も嫌われているプログラミング言語はPerlなのだという(Stack Overflow Blogの記事The Registerの記事)。

Stack Overflowでは開発者を対象にしたアンケート調査を定期的に実施しているが、今回のデータは求人情報サービス「Stack Overflow Jobs」の履歴書作成機能「Developer Story」で入力されたデータから抽出したものだ。Developer Storyには仕事を希望する(好きな)テクノロジーと希望しない(嫌いな)テクノロジーをタグで指定するオプションがあり、ここから好きと嫌いの比率を計算している。

嫌われているプログラミング言語については少なくとも2,000回以上出現したもので、Perlから少し離れてDelphiとVBAが第2グループを形成している。さらに大きく離れた第3グループはPHPとObjective-C、CoffeeScript、Rubyとなっている。最下位(嫌われていない)のはRで、KotlinやTypeScript、Rustが続く。
13357681 story
アメリカ合衆国

米空港、機内に持ち込まれる電子機器の保安検査強化へ 10

ストーリー by headless
強化 部門より
米運輸保安局(TSA)は26日、手荷物として旅客機の機内に持ち込まれる電子機器について、米国内の空港における保安検査強化の方針を発表した(プレスリリースConsumeristの記事Ars Technicaの記事The Vergeの記事)。

現在、一般の保安検査レーンではノートPCをバッグから取り出してX線検査用トレイに載せることを求めているが、新しい保安検査基準では携帯電話よりも大きなすべての電子機器を取り出してX線検査トレイに載せる必要がある。機内持ち込み可能な物品については変更されない。

新基準による保安検査はロサンゼルス国際空港など10空港で既に実施されており、その成果を踏まえて米国内の全空港に今後数週間から数か月かけて拡大する計画だ。TSAでは旅行者に対し、スムーズに電子機器を取り出せるよう事前にバッグを整理しておくことを推奨している。なお、手順が変更されるのは一般の保安検査レーンのみで、事前チェックにより保安検査を簡略化するTSA Pre✓のレーンには適用されないとのことだ。
13302849 story
iOS

iOS 11では32ビットアプリのサポートが打ち切りになる 79

ストーリー by hylom
更新されていない昔のアプリでは問題が出るかも 部門より

iOS 11の開発者向けプレビュー版では、32ビット版のアプリが実行できなくなっていることが報告されている(MacRumors)。

32ビット版アプリを起動しようとすると、アプリのアップデートが必要という旨のメッセージが表示されて起動できないという。また、32ビット版アプリはApp Storeの検索結果に表示されなくなっているそうだ。

AppleのiOS 11プレビュー版ページによると、iOS 11はiPhone 5s以降、iPad mini 2以降、iPad(第5世代)、iPad Airシリーズ、iPad Proシリーズ、iPod Touch(第6世代)。これらはすべて64ビットに対応しており、OS自体も64ビット専用になると予想される。

13106428 story
検閲

NAVERまとめ、LINEを批判するまとめに対しnoindexメタタグを付けて検索結果に出ないよう指定 61

ストーリー by hylom
これは酷い 部門より
insiderman 曰く、

コンテンツの不適切な流用について批判が集まっているLINEのサービス「NAVERまとめ」だが、NAVERまとめに投稿された、LINEに対する抗議を行っているまとめ記事「クマムシ博士はLINE株式会社に抗議します」について、「<META NAME="ROBOTS" CONTENT="NOINDEX, NOFOLLOW"> 」というタグが付与されていることが指摘されている(NAVERまとめの問題をNAVERまとめに挙げたら無告知で「noindex」化されて色々となるほど感 )。

このタグが付与されたページはGoogleの検索結果に表示されなくなる。誰もが投稿できるようなサイトで、スパム投稿などに対する対応策としてこのような指定を管理者が行うことはあるが、著作権侵害の疑いのあるページについては放置し、こういった運営批判ページに対しては対応を行う運営側の姿勢は擁護できないだろう。なお、このようにnoindexを付与するシステムはNAVERまとめでは以前から実装されていたようだ。

12843272 story
情報漏洩

顧客の情報を勝手に別の会社に横流ししたシステム開発・運用会社が摘発される 44

ストーリー by hylom
やってることはベネッセ事件と同じ 部門より
あるAnonymous Coward 曰く、

「電話を使った占いサービス」のシステム開発や保守を請け負っていた企業「アンサー」が、保守を請け負っていたシステムから営業情報を不正に複製して同業他社に提供したとして、その取締役が不正競争防止法違反(営業秘密の複製、開示)容疑で逮捕された(時事通信NHK)。

不正に複製された営業情報は電話占いサービスの利用状況や金額などとのこと。容疑者は容疑を認めているという。

システムやネットワークにどんな対策を施していたところで、システム会社に情報を横流しされてしまってはどうしようもないと思うのだが、こういうリスクにはどのように取り組むべきなのだろうか?

12759285 story
変なモノ

米マクドナルド、より大きなビッグマックとより小さなビッグマックを一部の店舗でテスト販売 60

ストーリー by headless
大小 部門より
日本マクドナルドはビッグマックを大型化した「グランド ビッグマック」と「ギガ ビッグマック」を期間限定で販売しているが、米マクドナルドでは、より大きなビッグマック「Grand Mac」と、より小さなビッグマック「Mac Jr.」のテスト販売を一部の店舗で開始したそうだ(Columbus Business Firstの記事[1][2]Consumeristの記事Foodbeastの記事)。

Grand Macは、通常のビッグマックで5分の1ポンド(約91グラム)のビーフパティを3分の1ポンド(約151グラム)に増量。スライスチーズは2枚になり、バンズも大型化されているという。日本のグランド ビッグマックと似ているが、ビーフパティの増量分はGrand Macの方が多いようだ。Mac Jrはビッグマックで2層になっているビーフパティを1層にして小型化したものとのこと。テスト販売はオハイオ州中心部とテキサス州ダラス/フォートワース地区の127店舗で実施されており、6月6日まで続けられる。

スラドの皆さんはビッグマックがお好きだろうか。もしもビッグマックに3つのサイズがあったら、どれを選ぶだろう。
typodupeerror

海軍に入るくらいなら海賊になった方がいい -- Steven Paul Jobs

読み込み中...