Last modified: Thu Jun 9 11:57:25 2022 +0900 (JST)
このページの情報を利用される前に、注意書きをお読みください。
》 セキュリティ被害発生! 「調べてよ」と言われたときの準備は大丈夫? (Internet Watch, 5/30)
》 伊藤園「水素水は水素の入った水です」 (togetter, 5/28)。水素水 = ただの水。
「アベノミクスは大失敗」と言える4つの根拠 (東洋経済オンライン / Yahoo, 5/31)
消費増税先送りと財政出動の茶番 アベノミクスはなぜ失敗したか? (森信茂樹 / ダイヤモンド ONLINE, 5/31)
》 安倍首相「リーマン前に似てるとは言ってない!」→サミット記者会見で繰り返し言ってました (buzzap, 5/31)
関連: <増税延期>「リーマン前」に異論 首相の認識、疑問視も (毎日 / Yahoo, 5/31)
》 暗号化通信にバックドア設置を義務付ける法案、審議されずに廃案か--米議会 (CNET, 5/31)
》 オープンソースライセンス管理団体OSI、ライセンス情報を提供するAPI「Open Source License API」を公開 (OSDN, 5/31)
》 情報セキュリティ早期警戒パートナーシップガイドライン-2016年版 (JPCERT/CC, 5/30)
》 Torは検索エンジンが行うユーザー追跡から逃れるためDuckDuckGoの検索結果をデフォルトで使用 (techcrunch, 5/31)
》 文部科学省を装って送られた「中間-事後評価に係る様式201605.zip」 調査メモ ((n)inja csirt, 5/28)。標的型攻撃メールに関する注意喚起 (慶應義塾 湘南藤沢ITC, 5/24) の件。
》 IPAテクニカルウォッチ「増加するインターネット接続機器の不適切な情報公開とその対策」 (IPA, 5/31)。Censys に対応。
》 0605 川崎ヘイトデモ、川崎市が公園使用許可申請を却下
ヘイト団体の公園使用、不許可処分を発表 川崎市 (朝日, 5/31)
【速報】ヘイトデモ公園利用は「不許可」 川崎市が主催者に通知 (カナロコ, 5/31)
関連:
時代の正体〈321〉約束(上) 身の危険感じる日常 (カナロコ, 5/29)
時代の正体〈322〉約束(下) 変化進める判断を (カナロコ, 5/30)
#0605川崎ヘイトデモを許すな (twitter)
川崎発!日本浄化デモ第三弾! (行動する保守運動, 6/5 の予定)
Security Advisory: Stored XSS in Jetpack (sucuri, 2016.05.27)
Jetpack 4.0.3: Critical Security Update (Jetpack, 2016.05.27)
WordPressのプラグイン「Jetpack」に脆弱性、直ちに更新を (ITmedia, 2016.05.31)
http://php.net/。 7.0.7、5.5.36、5.6.22 が 2016.05.26 付で出ています。
JVNDB-2015-007187 - Perl の regexec.c の複数の関数におけるサービス運用妨害 (DoS) の脆弱性 (JVN, 2016.05.26)。Perl 5.24.0 で修正されている模様。
》 DNSのクエリログ、調べるときがきました (LAC, 5/30)
今までただ記録するだけだったDNSクエリログを調査するちょうど良いエクササイズになります。
》 悪質商法の罰則強化 改正特定商取引法が成立 (NHK「かぶん」ブログ, 5/25)
「もんじゅ」根本から検討すべき 複数委員が意見 (NHK「かぶん」ブログ, 5/28)
「もんじゅ」の運営主体の議論 「勧告に沿っていない」 (NHK「かぶん」ブログ, 5/25)
》 Adobe、海賊版ソフト利用者にポップアップで「海賊版の危険性」を警告 (P2Pとかその辺のお話R, 5/26)
》 IBM、著作権侵害のコピー/印刷を行わないプリンタ特許を出願 (P2Pとかその辺のお話R, 5/27)
》 スタートレック二次創作映画裁判、パラマウントが訴訟を取り下げへ (P2Pとかその辺のお話R, 5/28)
》 「磁気カードの弱点」突いたATM14億円引き出し (毎日, 5/26)。「ICカード化が進むなかの「駆け込み犯罪」」。
》 ヘイトスピーチ 愛知知事「団体に県施設を使わせない」 (毎日, 5/30)。大村秀章知事。
》 フランスメディアが報じた「メディアを支配する電通のヤバイ12の真実」 (netgeek, 5/17)、 性懲りもない不正で日本の五輪開催はこれが最後か 日本ではなぜかもみ消される電通の闇、海外では詳しく報道 (JBpress, 5/18)
》 裏金疑惑で「東京五輪中止」が現実味 仏検察が執念を燃やすワケ (週プレNEWS / livedoor, 5/30)
》 文科省装うウイルスメール 慶応大職員に届く (NHK「かぶん」ブログ, 5/26)。 標的型攻撃メールに関する注意喚起 (慶應義塾 湘南藤沢ITC, 5/24) の件。
自民党佐賀県連によりますと (中略) 24日午後8時35分にメールアドレスなどを管理しているサーバーに何者かが不正にアクセスしたとみられる痕跡が見つかったということです。
本当に自民党佐賀県連から出たようだ、ということですか。
関連: 2016年5月の文科省なりすましメールについてまとめてみた (piyolog, 5/26)
》 定期的なパスワード変更は危険? World Password Dayに英諜報機関が警告 (ZERO/ONE, 5/25)
》 乗っ取られた Twitter アカウントが、アダルト出会い系サイトやセフレ紹介サイトへのリンクをツイート (シマンテック, 5/25)
》 自衛隊施設の審議会報告書 宮古島市が書き換え要求 (沖縄タイムス, 5/25)
米国のインフラ企業がランサムウェアに襲撃される (ZERO/ONE, 5/27)
ランサムウェアにより暗号化されたファイルの復号ツールを公開 (トレンドマイクロ セキュリティ blog, 5/27)、 ランサムウェア ファイル復号ツール公開のお知らせ (トレンドマイクロ, 5/27)
暗号化型ランサムウェア「CryptXXX」、「CRYPTESLA」の後継となるか (トレンドマイクロ セキュリティ blog, 5/26)
止まらぬランサムウェアの猛威、2016年1~3月期の脅威動向を分析 (トレンドマイクロ セキュリティ blog, 5/25)
廃炉の廃棄物処分 "地下70m以上深い場所に"案了承 (NHK「かぶん」ブログ, 5/25)
核のごみ処分場選定 外部評価へ 国際機関が聞き取り (NHK「かぶん」ブログ, 5/25)
資料2 「炉内等廃棄物の埋設に係る規制の考え方について」及びそれに対する意見募集の実施について(案) (第11回原子力規制委員会, 5/25)
静岡 - 知事、中電の核のごみで持論 (中日, 5/25)
》 大陸間弾道ミサイルや核爆撃機のオペレーションにいまだにフロッピーディスクが使用されていることが明らかに (gigazine, 5/26)
》 グーグル、Java API使用が「フェアユース」と認められる--対オラクル訴訟 (CNET, 5/27)。おめでとうございます。
》 朝日新聞の調査により、新卒求人における固定残業代の詳細明示が不徹底である実態が判明 (上西充子 / Yahoo, 5/27)
朝日新聞が就活サイトのリクナビで検索したところ、「固定残業」があるとしている約190社のうち、3分の2の会社で固定残業代の詳細明示がないことがわかり、厚労省の指針が徹底されていない実態が明らかになった。
》 護身術として武術や格闘技を習った上で最も生存確率を上げる方法 (おち研, 5/25)。逃げる (事前に回避する)。
その経験から後進のために書いておきますけど、プロの格闘家でもない限りウェイト差はひっくり返せません。(中略) 女子供に向かって「応戦すれば良いだろう」とか言うおっさんは、めちゃくちゃ動ける130Kgくらいの力士と一度スパーをしてみたら良いですよ。話はそれからだ。
小兵が大男と戦う話というと鎧光赫赫ですが、彼らはそれなりの道具を手にしているわけで。道具なしで体格差のある相手と戦うのは無謀。
羽田空港の大韓航空機でエンジン出火、319人脱出 (朝日, 5/27)
離陸直前に急ブレーキ、立ちこめる煙 大韓航空機出火 (朝日, 5/27)
神奈川県の飲食店員の女性(21)によると、飛行機が滑走路で走り始め、離陸しそうだという段階で急ブレーキがかかった。すぐに左翼付近から白い煙が立ちこめ、火災だとわかったという。
うぉぅ。 離陸決心速度 V1 に到達した後だったら、と思うとぞっとするなあ。
大韓航空機のエンジン部分から煙 羽田空港 (NHK, 5/27)
大韓航空機 そのとき何が 乗客たちが証言 (NHK, 5/27)
羽田空港 大韓航空機エンジンから出火…離陸前、乗客脱出 (毎日, 5/27)
ファームウェア Ver.2.18 で修正。
JVN#75813272 - バッファロー製の複数の無線 LAN ルータにおける情報漏えいの脆弱性 (JVN, 2016.05.27)
JVN#81698369 - バッファロー製の複数の無線 LAN ルータにおけるディレクトリトラバーサルの脆弱性 (JVN, 2016.05.27)
VMSA-2016-0006 - VMware vCenter Server updates address an important cross-site scripting issue (VMware, 2016.05.24)。5.1 / 5.5 / 6.0 for Windows 用の patch が用意されている。
》 オープンソースのWebサーバー「Nginx 1.11」リリース (OSDN, 5/25)
セキュリティ関連では、RSAやECDSAなど異なる種類の証明を読み込めるようssl_certificateとssl_certificate_keyキーワードが複数回特定できるようになった。さらに、OpenSSL 1.0.2以上を利用時にssl_ecdh_curveで使用する曲線リストを特定できるようになった。また、ssl_dhparam使用時にパラメーターを特定する際にディフィー・ヘルマン(DHE)暗号化が必須となった。
》 アプリケーションなどの異常な行動を検出できるアクティビティモニタリングツール「Falco」 (OSDN, 5/24)
検出できる活動としてはコンテナ内で動作するシェルの動作や/etc/passwdといった機密ファイルの予期しない読み込み、標準システムバイナリのアウトバウンドネットワーク接続などが挙げられている。検出のためのルール設定は同社がフィルタリングエンジン向けに利用するカスタム言語で書かれており、デフォルトのルールセットも用意する。
》 スバルが「レズバル」("Lesbaru"、レズビアンのスバル)になるまで―スバルのレズビアン向けマーケティングの歴史 (石壁に百合の花咲く, 5/25)
スバルの特にフォアスターやアウトバックあたりの車種が米国のレズビアンに好まれ、"Lesbaru"と呼ばれていることは知っていたのですが、それ以上は何も知らなかったため、元記事はたいへん興味深く読みました。単にアウトドア向けのタフな車だから人気が出たのだとばかり思っていたのに、実は約20年も前から積極的にレズビアン向けのマーケティングを実施してたんですね、スバル。
》 インターネット定点観測レポート(2016年 1〜3月) (JPCERT/CC, 5/26)
》 Appleが中国でiPhone登録商標の奪還に失敗 (栗原潔のIT弁理士日記, 5/6)
光電話回線を利用した時刻供給実験運用を開始 〜電話回線によるシステムからの移行〜 (NICT / 共同, 5/26)
セイコーの時刻配信装置「Time Server TS-2210」が光電話回線を利用した新時刻供給システム「光テレホンJJY」に対応 (セイコーソリューションズ / CNET, 5/26)
》 メモ: Windows 10 バージョン 1511 の時間ずれ問題 (山市良のえぬなんとかわーるど, 5/25)
》 GoogleがAndroidのアップデートを迅速に配布すべくスマホメーカーに強硬手段をとる (gigazine, 5/26)
Androidの正式版最新バージョン (中略)「Android 6.0 Marshmallow」(中略) の使用率はたった7.5% (中略) 対して、Appleが2015年9月に公開したiOSの最新バージョン「iOS 9」の使用率は2016年5月9日時点で84%
》 Mt. Goxの管財人が失われたbitcoinに対する請求の調査を終了…結果発表はもうすぐ (techcrunch, 5/26)
》 Windows Server 2012 / 2012 R2 WSUS 用の更新プログラム KB3159706 について (Japan WSUS Support Team Blog, 5/26)
》 セブン銀行 ATM から 14 億 4000 万円を不正引き出しの件。 この件、セブンが狙い撃ちされているので、「コンビニ ATM から」と言うべきではないだろう。
犯行人数: 100 人以上か
手法: 「クレジットカードで現金を借りる「キャッシング機能」で、限度額の10万円が1万4000回以上にわたって引き出された」
使用不正カード: 南アフリカ「スタンダード銀行」から流出したクレジットカード情報が書き込まれたもの。「日本では、外国のクレジットカードを使って引き出しが可能な銀行は2行しかないが、セブン銀行はその1つ」。
なぜ日本: 「より新しく安全性が高い「チップ・アンド・ピン」システムを導入しておらず、旧式で安全性の低い「磁気ストライプ」のカードが通用する国」
記事:
【セブン銀行ATMからの不正引出しに関する報道について】 (セブン銀行, 5/23)
14億円不正引き出し 「出し子」は100人以上か (NHK, 5/23)
ATM1400台一斉不正 全国で計14億円引き出し 南ア偽造カード (毎日, 5/23)
セブン銀行「ATM利用で偽造はされない」 (日テレ, 5/23)
コンビニATM14億円不正引き出し、管理甘い日本が狙われる アフリカ諸国、東欧、中東などでは不正分析ソフトが働くため同様の犯罪は発生せず (ロイター / ニューズウィーク日本版, 5/25)
日本は比較的孤立した状態にあることから、長い間、犯罪組織やサイバー犯罪グループのターゲットにはなっていなかったが、それは変わりつつある。にもかかわらず、対策が追い付いていないという。
「このような不正に対処する経験が浅く、監視し、不正を探知し、対応するといった点で後れを取っている」と、ストレージ(外部記憶装置)メーカー、EMCのセキュリティー部門RSAでアジア太平洋地域のサイバー犯罪を専門とするスティーブン・マコンビー氏は指摘した。
コンビニATMから14億円「不正キャッシング」 「海外クレカも使えます」が裏目に (J-CAST, 5/23)
セブン銀が4日続落、「偽造カードで現金引き出し」報道嫌気か (四季報, 5/24)
》 在沖米海兵隊の撤退要求 沖縄県議会が初 遺棄事件に抗議 (沖縄タイムス, 5/26)。「自民会派が退席した上で、全会一致で可決」「野党の自民が提出した抗議決議と意見書は賛成少数で否決」。
》 先進国首脳会議(伊勢志摩サミット)でエセ科学の水素水が配布されていて日本の恥 (netgeek, 5/25)。マジか……。
G7では極めてインテリで科学リテラシーの高い人物も多数参加することから、日本が先進国とは思えないほど似非科学にはまっていると誤解されないか心配だ。
いやいや、実際にはまっているのだから、心配してもらったほうがいいと思う。
》 標的型攻撃メールに関する注意喚起 (慶應義塾 湘南藤沢ITC, 5/24)
差出人 [email protected] <[email protected]>
※mext.go.jpをかたって、@saga-jimin.comから出されているようです
いやいや、そこは received: とかも見ないとなんとも言えないんじゃ……
》 陸自実弾発射、隊員2人負傷 安全網機能せず (北海道新聞, 5/26)。 弾薬授受の際に確認するはず (管理ミス?)、 実弾と空包は形状が異なるので装填時にわかるはず (手元が見えにく状況だった?)、 撃った感触が違うのでわかるはず (あっという間に撃ち終ってしまった?)。
ウイルスバスターの脆弱性に関して (3月) (トレンドマイクロ, 2016.05.09)。意図しないファイルにアクセスされる可能性、意図しないスクリプトが実行される可能性。 「デフォルトの設定では外部ネットワークからこれらの脆弱性を使用した攻撃はできない」。 プログラムアップデートを配布済。
アラート/アドバイザリ : 企業向けエンドポイント製品の「パストラバーサル脆弱性」、および「HTTPヘッダインジェクション脆弱性」について (トレンドマイクロ, 2016.05.16)。ウイルスバスター クラウドの件と同様の欠陥が企業向け製品にも。
ウイルスバスター コーポレートエディション 11.0: サポートから修正モジュールを入手できる。
ウイルスバスター ビジネスセキュリティ 9.0: SP3 (2016.06) で修正される予定
ウイルスバスター ビジネスセキュリティサービス 5.x: 対応済み
Chrome 51.0.2704.63 が stable に。42 件のセキュリティ修正を含む。
》 英政府、GoogleとFacebookに海賊版取り締まりを押し付ける (P2Pとかその辺のお話R, 5/25)
》 Google、AdWordsを大幅改訂 (techcrunch, 5/25)
》 ISACA大阪支部 総会および特別講演会のご案内。 2016.06.19、大阪府大阪市、一般3000円・学生無料。
》 ウイルス対策ソフトは無料でも十分か? (日経 IT Pro, 5/24)。「出典:日経NETWORK 2016年1月号 pp.20-21」
》 4月と最近の国内フィッシング事情 (so-net セキュリティ通信, 5/24)
》 Bitcoin採掘の7割を中国が占め、元開発者が「実験は失敗だった」と表明 (gigazine, 5/25)
》 電子ペーパーがフルカラーになる技術がついに開発される、省電力性はそのまま (gigazine, 5/25)
組織内などで ".corp" のような勝手 TLD を使っている場合に、 WPAD が有効になっているクライアントが組織外 (例: 自宅) に持ち出されたとする。 組織外で wpad.subdomain.corp を参照した場合に、".corp" という gTLD が実際に存在し (あるいは攻撃者が用意し)、http://wpad.subdomain.corp/wpad.dat を取得できてしまうと、中間介入 (MitM) 攻撃が実現されてしまう。
回避方法としては、WPAD を使わない、勝手 TLD を使わない、など。
関連:
JPNIC News & Views vol.1404【定期号】 (JPNIC, 2016.05.16)。「特集: 名前衝突(Name Collision)問題の現状」
JAS社は、ICANNから名前衝突問題について調査するよう委託された、第三者の調査機関です。JAS社はこれまで、名前衝突問題の原因やその回避策・緩和策について調査を行い、後述する名前衝突の影響を緩和するための対応策や、報告書を公開しています。緩和策に関する報告書については、2014年6月10日に初期報告書(*5)、2015年11月30日に最終報告書(*6)が公開されました。報告書では、名前衝突問題の対応策・緩和策として、ICANNに対して14の推奨策を取るよう要請しており、いくつかの策についてはすでに対応が取られています。主なものとして、以下のようなものが挙げられます。
.corp、.home、.mailについては、RFC 1918(*7)のように取り扱うこと
新たに委任が開始されたgTLDについては、計画的中断(controlled interruption)(*8)を行うこと
名前衝突問題によって人命に危険性が発生しないかどうか監視すること、 また緊急事態に備えた体制を取ること
DNSの名前空間には、RFC 1918で定義されるプライベートIPアドレスのような内部利用できる名前が無く、.corpおよび.homeがその目的で実質的に使われてしまっています。.corp、.home については既にルートサーバへ多数の問い合わせが行われていること、.mailについては問い合わせ件数は少ないものの、設定例などで利用されていることが多く、影響が大きいと予想されることなどから、委任をしないよう求めています。
(中略)
(*5) Mitigating the Risk of DNS Namespace Collisions Phase One Report
https://www.icann.org/en/system/files/files/name-collision-mitigation-26feb14-en.pdf
(*6) Mitigating the Risk of DNS Namespace Collisions Final Report
https://www.icann.org/en/system/files/files/name-collision-mitigation-final-28oct15-en.pdf
第93回IETF Meeting報告(前編) (JPRS, 2015.08.20)。「.localはDNSとは別の名前空間・別のポート番号を持つ、Multicast DNS(RFC 6762)での使用を目的として予約されています」
Webプロキシ自動発見(WPAD)の脆弱性に関する注意喚起と予約ドメイン名の追加指定について (JPRS, 2007.12.21)、 汎用 JP ドメイン名における予約ドメイン名 (JPRS)
Stop Using "internal" Top Level Domain Names (SANS ISC, 2016.05.25)
》 豪州「サイバー報復」を明言 新サイバーセキュリティ戦略に注目が集まる (ZERO/ONE, 5/17)
》 すべて実弾、双方から撃ち合いか 北海道の陸自演習場 (北海道新聞 / Yahoo, 5/24)
》 ひらきなおれ!舛添要一 (渡辺輝人 / Yahoo, 5/20)。舛添氏の前はもっとひどい人物だったしなあ。
まずは自身の疑惑について説明責任を果たしつつ、「政治と金」問題の先達たちに「貴方たちも同じ穴の狢じゃないか。何で私だけ火だるまなんだ」と開き直り、“ガソリンに火をつけて回る” のが、公平・正義の観点から重要と思います。オリンピック招致を巡る問題は、舛添氏就任前の問題であるだけに、本来的には追及しやすい立場のはずです。
♪燃えろよ燃えろ〜よ〜
》 「マイナンバーが記録されているPCの修理はできない」ということで各社の規約が続々と更新中 (gigazine, 5/24)。マイナンバー伝説にまた 1 ページ。いまどきだと、マイナンバーが記録されているスマホやタブレットが山のようにあると思うんだけど、そのへんはどうなってるんだろう。
》 Technical Report about the RUAG attack (SANS ISC, 5/23)
》 「憲法9条のせいで・・・」 産経がまたひどい誤報 (日本報道検証機構, 5/13)
》 マンション「民泊」差し止め、大阪地裁が初判断 (読売, 5/24)
》 風知草 「電通」に聞きたいこと=山田孝男 (毎日, 5/23)
》 災害時デマのパターンを知ろう 関谷直也氏・東大特任准教授 (毎日, 5/23)
》 [速報]ヤフーがプライバシーポリシーを全面改定へ (日経 IT Pro, 5/24)
》 世界各地で「炎上政治家」が台頭する背景-イスラーム過激派との共通点とは (六辻彰二 / Yahoo, 5/23)。もちろん日本も例外ではない。
》 Let's EncryptでNASにもHTTPS通信を Synologyならウィザードで簡単導入 (Internet Watch, 5/23)。
》 ロールアップ更新プログラムでWindows 7の新規インストールが楽になる (@IT, 5/24)。やってみたレポート。
》 「核のごみ」処分場 適した地域 10月以降に提示 (NHK「かぶん」ブログ, 5/23)。そんな場所は日本にはないのだが。
》 参院厚労委で難病患者が意見陳述 「今後も発言機会を」 (NHK「かぶん」ブログ, 5/23)。ALS の岡部宏生さん。衆議院では無視された。
》 ワイヤレスキーボードの入力内容を監視するキーロガーについてFBIが警告 (gigazine, 5/24)。「USB充電器に模して、無線方式のキーボード入力内容を盗み見ているキーロガー」。まあ、いかにもありそうなモノに見えればなんでもいいんでしょうけど。
APSB16-17 - Security update available for Adobe Connect (Adobe, 2016.05.23)。Adobe Connect 9.5.3 で修正されている。
[security] Go 1.6.1 and 1.5.4 are released (Google, 2016.04.13)。CVE-2016-3958 CVE-2016-3959
CVE request: OpenNTPD not verifying CN during HTTPS constraints request (oss-sec ML, 2016.05.23)
Cisco Prime Infrastructure and Cisco Evolved Programmable Network Manager JSON Privilege Escalation Vulnerability (Cisco, 2016.05.23)。
An exploit could allow the attacker to perform privilege escalation on the applications to the root level and access unauthorized data.
Windows 10への自動アップグレードスケジュールの通知がさらに凶悪化してWindows Updateと一体化、キャンセル方法はコレ (2016.05.17)
Windows 10自動アップデートを抑止する公式ツールが提供開始、通知アイコンの非表示も可能 (Internet Watch, 2016.05.23)。究極命題バータリー。
》 世界で最もプライバシーを気にしているのに、世界で最もパスワードを変更しない日本人 (成迫剛志の『ICT幸福論』, 5/23)。EMCプライバシー インデックス 2014 の紹介。
》 Evolving the Safe Browsing API (Google, 5/20)。Safe Browsing API v4 登場。
中国語版ランサムウェア「SHUJIN」を確認 (トレンドマイクロ セキュリティ blog, 5/19)
「Locky」のコードを利用したランサムウェア「Goliath」、ダークWeb で販売 (トレンドマイクロ セキュリティ blog, 5/20)
ハッキングされたLockyホストからの公共広告ペイロード (エフセキュアブログ, 5/17)
数字で見る「ランサムウェア」と「標的型攻撃」 (TNE ZERO/ONE, 5/23)
Will CryptXXX Replace TeslaCrypt After Ransomware Shakeup? (trendmicro blog, 5/20)
暗号化ランサムウェアのマネタイズ (エフセキュアブログ, 5/6)
》 韓国発レズビアン映画『アガシ(아가씨)』、全世界で公開へ 史上もっとも売れた韓国映画に (石壁に百合の花咲く, 5/21)
》 マイクロソフトがHoloLensを軍事利用する計画を公表するものの突如として非公開に (gigazine, 5/22)
》 日本学術会議 軍事技術研究巡り検討委設置へ (NHK「かぶん」ブログ, 5/21)
》 ドローンに狙いを定め電波妨害して撃退するアンチドローンライフル銃「Dronebuster」 (gigazine, 5/23)
》 「ハイスコアガール」連載再開&加筆修正したリニューアル版コミックス発売が決定 (gigazine, 5/23)
》 JPRSによるゾーン転送の設定状況調査の実施と調査対象からの除外(オプトアウト)の受け付けについて (JPRS, 5/23)
》 News Up 炎上参加者 実はごく少数? (NHK, 5/23)。「ネット炎上の研究」の件。
》 【ご報告 池田信夫氏を名誉棄損で提訴しました】 (人権は国境を越えて-弁護士伊藤和子のダイアリー, 5/22)
》 MinDiffAreaFileSize レジストリ に関しての更新プログラムが公開されました。 (Ask CORE, 5/23)
Windows Server 2012 R2 のボリューム シャドウコピー サービスを利用されている環境で、履歴が削除されてしまう等の障害の対処策、あるいは障害の抑止方法の対処策として MinDiffAreaFileSize レジストリの変更をされている場合には、是非これらの更新プログラムを適用し、 Diff Area のサイズを増加させることで回避となるかご確認頂ければと思います。
》 ClamAV 0.97 Engine End of Life Announcement (ClamAV, 5/20)
》 ロシアの天才ハッカーによる【新人エンジニアサバイバルガイド】 (qiita, 5/16)
》 Microsoft Disables Wi-Fi Sense on Windows 10 (Krebs on Security, 5/19)
》 IoTデバイスのセキュリティ対策を提示、IPAが手引きを公表 (日経 IT Pro, 5/19)
文革50周年と「フラワーズ56」の怪?――習近平政権に潜むリスク (遠藤誉 / ニューズウィーク日本版, 5/16)
習近平の指導力低下は、日本にとってマイナス 東京大学教授 高原明生氏に聞く (日経ビジネス, 5/19)
歴史を反省せずに50年、習近平の文化大革命が始まった (楊海英 / ニューズウィーク日本版, 5/19)
習近平が危ない!中国で異例の事態が続出 絶対権力者の地位を脅かす3つの兆候とは? (東洋経済, 5/19)
習近平政権下で「政治犯」600人拘束 前政権の10倍…「改革開放の時代」終焉か (産経, 5/17)
》 1000万円近くが闇に? 高市早苗総務相が政治資金不正で刑事告発された! でも舛添問題と対照的にマスコミは… (リテラ, 5/17)
》 小泉氏が涙 トモダチ作戦の健康被害「見過ごせない」 (朝日, 5/18)
原子力空母ロナルド・レーガン艦載機の整備士だったセオドア・ホルコムさんは作戦中、放射線を浴びたヘリコプターの除染などにあたった。その後、骨膜肉腫を発症し、2014年に35歳で死去。退役軍人省による放射線と病気との因果関係の調査はその死後、打ち切られたという。原告代理人を務める元海軍のマヌエル・レスリーさん(41)は「死んだ親友のために、真実を明らかにしたい」。
関連:
衝撃レポート:「トモダチ作戦」に参加した米空母ロナルド・レーガンが深刻に被曝していたことを米海軍は知っていた(※PCモード推奨) (In the Eyes of Étranger, 2014.09.10)
2013.12.18「空母ロナルド・レーガンの船長が船内放送で話した事」YuriHiranumaさんのツイートまとめ (togetter, 2013.12.18)
「米国トモダチ作戦の海兵隊兵士ら東電や関連会社訴えた集団訴訟」関連ツイートまとめ(2014.10.31) (togetter, 2014.10.31)
3・11支援活動で健康被害…「トモダチ作戦」美談の裏 (東スポ, 3/15)
》 TeslaCrypt 終了のお知らせ、マスターキーを公開
身代金要求ランサムウェアの開発者がまさかの暗号化解除キーを公開、攻撃から一転して降参へ (gigazine, 5/20)
さらば、TeslaCrypt:最終ラウンド (Kaspersky, 5/20)
暗号化型ランサムウェア「CRYPTESLA」が活動停止、復号鍵を公開 (トレンドマイクロ セキュリティ blog, 5/23)
カスペルスキーの無料復号ツール、TeslaCryptに対応 (Kaspersky, 5/25)
キャンセル待ち150人!Security-JAWS第1回で現場の苦労を見た (ascii.jp, 5/20)
とある診断員とAWS (Slideshare)
Security-JAWS 第1回 #secjaws #secjaws01 (togetter)
》 海賊版論文サイトSci-Hub、ドメインを凍結されるも徹底抗戦の構え (P2Pとかその辺のお話R, 5/17)
》 英国政府、著作権侵害対策の4カ年戦略を公表 (P2Pとかその辺のお話R, 5/13)
》 「店でBGM流したいなら金払うのが義務」とかいう時代錯誤 (P2Pとかその辺のお話R, 5/10)
》 違法ダウンロードに罪悪感を覚えないのはなぜか:脳科学的な検討 (P2Pとかその辺のお話R, 5/10)
》 ハリウッド、著作権侵害の学術研究に年間100万ドルを助成 (P2Pとかその辺のお話R, 5/19)
》 統一教会(家庭連合)の著作権侵害申し立てにより削除された本紙記事をGoogleが“復帰”措置 (やや日刊カルト新聞, 5/18)
》 【参院選】野党3党と市民団体、被害者団体の要望書を完全無視 (やや日刊カルト新聞, 5/12)。柴田未来氏・浄土真宗親鸞会の件。
》 刑事司法改革 取り調べ、転換点…可視化法、成立へ (毎日, 5/20)。関連:
「刑事司法制度改革 えん罪を防ぐために」(時論公論) (NHK 解説委員室, 5/19)
こうして見ますと、裁判で正しく判断するには、自白した後だけでなく自白に至る過程の録音録画が必要で、とりわけ初期の取り調べが重要であるように思います。この点、法案で義務付けているのは容疑者を逮捕して以降の取り調べです。しかし、逮捕の前に任意同行を求め、ある程度自白をとってから逮捕状を執行する。そうした事件も多く見られるわけで、逮捕前の任意の取り調べの段階から録画を義務付けておかないと捜査側に都合よく利用されかねないという懸念が根強くあるところです。
この懸念が強まりかねない裁判が先月ありました。栃木県の旧今市市、今の日光市で小学生が連れさられ殺害された事件です。被告は無罪を主張し、裁判では自白した後の取り調べを撮影した動画が再生されました。1審は無期懲役を言い渡し、一部の裁判員が記者会見で「映像だと臨場感があった」とか「録音録画がなければ判断はどうなったかわからない」と述べました。ところが、この発言に少なからぬ専門家が違和感を覚えたといいます。この事件では逮捕直前の任意の取り調べが録画されておらず、インパクトの強い自白後の動画を見て有罪判断の根拠にしていたからです。
5月10日院内集会「刑事訴訟法等の改悪を許さない緊急集会」レポート (八木啓代のひとりごと, 5/15)
【Podcast】特集「成立目前の刑事訴訟法改正案、その懸念点とは?」青木理×一木明×江田五月▼5月18日放送分 (TBSラジオ「荻上チキ・Session-22」, 5/19)
》 Makecabコマンドによるファイル分割の問題について (Ask CORE, 5/20)。使うな危険。
運用上のシステムにおいてバッチ ファイル内でファイル分割、結合を行う必要があるような場合には、makecabコマンド以外のファイル分割、結合のソリューションを併せてご検討いただけますと幸いでございます。
》 EC2(Amazon Elastic Compute Cloud)上のインスタンスのセキュリティ対策について (マカフィー, 5/16)
》 PCウイルス感染を指南容疑 「激裏情報」スタッフ逮捕 (朝日, 5/20)、不正ウイルス 中学生に情報提供、大学職員を逮捕 警視庁 (毎日, 5/20)。 低年齢化するサイバー犯罪…ウイルス作成ソフト不正所持の疑いで中学生を逮捕 (NAVER まとめ, 2015.11.05) の件の幇助容疑で激裏の人を逮捕。
》 NewsPicksへの転載はご遠慮を……著者による「No Picking」なる運動が勃発中 (やじうま Watch, 5/19)
》 <想定外に備える>煩雑な手続き 足かせ (河北新報 / Yahoo, 5/17)。「みなし仮設住宅の入居までの煩雑な事務処理の問題」が熊本でも発生しているという話。
サイクスピコ条約百年に際してのクルド自治区議長の公開書簡 (中東の窓, 5/17)
「サイクス・ピコ協定」締結から100年 (NHK 国際報道 2016, 5/16)
「サイクス=ピコ協定から百年」は日本で「ニュース」になりうるのか (中東・イスラーム学の風姿花伝, 5/18)
中東、崩れる「人工国家」 サイクス・ピコ協定100年 (日経, 5/18)
》 陸自 CH-47、一斉点検中だったため熊本地震では大幅に活動を制限される。読売のスクープ。
地震時、自衛隊大型ヘリ緊急点検…8割飛べず (読売, 5/16)
大臣会見概要 平成28年5月17日(08時30分〜08時36分) (防衛省, 5/17)
ヘリの状況ですけれど、報道のとおり、地震発生直前の4月12日、操縦系統に係る不具合が発生しまして、一時的に飛行を中止いたしましたけれども、翌日13日に、点検要領を部隊に指示しまして、15日から20日までの間に、点検が終了した機体から、逐次、飛行を再開しております。なお、CH-47につきましては、4月16日に、2機が救援活動を開始しまして、翌日の17日、日曜日ですけれども、12機、米軍による航空輸送支援を受けていた18日には10機ですが、その後は、19日、20日が18機、21日は17機、22日は18機、救援活動に当たっておりまして、「10機程度しか稼働できなかったという」報道は、御指摘には当たりません。
「御指摘には当たりません」って、当たってるじゃん。
また、MV-22オスプレイにつきましては、発生直後に、米側から、支援をするという申し出がありました。そして、この支援を受けた18日の時点で、すでにCH-47につきましては、整備・飛行の目処は立っておりまして、今般の、操縦系統に係る不具合が原因で、米軍のオスプレイの支援を、要請したというものではございません。
フーン……。
》 Microsoft、Windows 10をバージョン1511にアップデートするツールをリリース (スラド, 5/19)
》 Simplifying updates for Windows 7 and 8.1 (Microsoft, 5/17)。2016.04 までのセキュリティ修正と非セキュリティ修正をまとめた Windows 7 SP1 convenience rollup を提供開始。適用するには、あらかじめ KB3020369 を適用する必要あり。
また、 Windows 7 / Server 2008 R2、8.1 / Server 2012 / Server 2012 R2 用に、 毎月の非セキュリティな更新をまとめた monthly rollup を提供するそうで。
May 2016 update rollup for Windows Server 2012 (Microsoft KB3156416)
May 2016 update rollup for Windows 7 SP1 and Windows Server 2008 R2 SP1 (Microsoft KB3156417)
May 2016 update rollup for Windows RT 8.1, Windows 8.1, and Windows Server 2012 R2 (Microsoft KB3156418)
ってこれ、Windows 10 アップデート誘導な奴を個別に避けている人には地雷になったりします?
今すぐLinkedInのパスワードの変更を (Kaspersky, 5/19)
2012年に流出したログインとパスワード1億1700万人分が、売りに出されているのです。特に不可解な(気がかりでもある)点は、売り出されているアカウントの数が、これまで考えられていたよりもずっと多いことです。
パスワードの変更、2段階認証の有効化が推奨されている。
LinkedIn、2012年のハックで漏洩したメールとパスワード1.17億人分がネットに公開 (techcrunch, 5/19)
米リンクトイン、1億件超のパスワードを無効化 外部流出の恐れ (ロイター, 5/19)
》 「Android N」は一体どれぐらいパワーアップしたのかまとめ、3大テーマは「性能」「セキュリティ」「生産性」 (gigazine, 5/19)
》 TeslaCrypt 終了のお知らせ、マスターキーを公開
ESET releases new decryptor for TeslaCrypt ransomware (ESET, 5/18)
TeslaCryptによって暗号化されたファイルの復号手順メモ ((n)inja csirt, 5/19)
TeslaCryptの要約 (エフセキュアブログ, 4/29)
》 セキュリティ企業のランサムウェア対策支援――復号法公開や無料相談窓口など (so-net セキュリティ通信, 5/18)
》 「偽Windows Update発動→アップデート失敗→偽公式サポートへ電話」のフルコンボで金銭を要求する巧妙な新型ランサムウェアに注意 (gigazine, 5/19)
》 ランサムウェア Petya & Mischaに感染してみました。 ((n)inja csirt, 5/15)
》 Googleは機械学習アルゴリズム専用の高速チップを内製、なんと、8ビット機だ (techcrunch, 5/19)。Tensor Processing Units(TPU)。
機械学習アルゴリズムの実行におけるTPUの高速性は、一般的なCPUやGPUほどの計算精度が要らないことにも由来している。つまり32ビットではなく8ビットで十分なため、演算に要するトランジスタも少なくてすむ。
》 北川景子、長澤まさみら芸能人のFBのぞき見容疑の男逮捕 誕生日などからパスワード類推 (産経, 5/18)、 芸能人等のSNS、クラウドサービスへの不正アクセス事案についてまとめてみた (piyolog, 5/18)
》 「踏み台」被害も報告せず=不正アクセスで核検査法人[時事] (時事 / ガジェット通信, 5/18)
同センターが昨年2月にも、サーバーがサイバー攻撃を中継する「踏み台」に利用されながら原子力規制庁に報告していなかったことが18日、分かった
DNS サーバーが open resolver になってしまっていたという話。 資料1-2 情報セキュリティ対応の不備に関する調査結果報告 補正版 (第9回原子力規制委員会, 5/18) を参照。
同センターの六ケ所保障措置センター(青森県六ケ所村)では昨年8〜9月、パソコンのファイル共有ソフトによるとみられる外部との通信があったが、担当理事が規制庁への報告を怠っていた。同センターは今年1月に公表し、規制庁から他の情報漏えいの有無や原因の究明、再発防止策などの報告を求められていた。
こちら:
「公益財団法人核物質管理センターの情報セキュリティ対応に関する報告」について (核物質管理センター, 1/22)
資料1-3 公益財団法人核物質管理センターにおける情報セキュリティ対応の不備について (第9回原子力規制委員会, 5/18)
》 アノニマスのハッカー集団がDDoS攻撃「イカルス作戦」を実行して世界中の銀行をダウンさせていることが判明、今後の標的リストも明らかに (gigazine, 5/17)
》 パスワードをかけていないVNCサーバーのスクリーンショットをまとめた「World of VNC」 (gigazine, 5/13)
》 まるで忍者のように壁や天井にはりつくことが可能なドローン (gigazine, 5/15)。現実が攻殻機動隊に追いついてきてる。。
》 Google Playの人気ランクトップの無料ゲームアプリに仕込まれたマルウェア「Viking Horde」がボットネットを形成 (gigazine, 5/17)
》 HDD故障率のメーカー・モデル別統計データ2016年第1四半期版をBackblazeが公開 (gigazine, 5/18)
》 試験のカンニングを防止するため国全体のネットをシャットダウン (gigazine, 5/18)
》 日本きた!AWSでSSL証明書が無料、ワイルドカードも使えるし自動で更新 (ロードバランスすだちくん, 5/17)。自動更新はいいなあ。
》 Website Hacked Trend Report – 2016/Q1 (sucuri, 5/18)
》 FBI vs アップルは他人事ではない!日本の捜査機関はどこまでスマホを覗けるか、全貌に迫る (日経 IT Pro, 5/13)
5/17 に書き忘れた分。
About the security content of Safari 9.1.1 (Apple, 2016.05.16)
About the security content of OS X El Capitan v10.11.5 and Security Update 2016-003 (Apple, 2016.05.16)
About the security content of watchOS 2.2.1 (Apple, 2016.05.16)
About the security content of iOS 9.3.2 (Apple, 2016.05.16)
関連:
iOSを最新バージョンにアップデートするとiPad Proが「エラー56」で高級文鎮化する被害が続出中 (gigazine, 2016.05.18)
APSB16-16 - セキュリティアップデート:ColdFusion用ホットフィックス公開 (Adobe, 2016.05.10)。CVE-2016-1113 CVE-2016-1114 CVE-2016-1115
Squid 3.5.18, 4.0.10 で修正。
SQUID-2016:7 - Cache poisoning issue in HTTP Request handling (squid.org, 2016.05.06)
SQUID-2016:8 - Header smuggling issue in HTTP Request processing (squid.org, 2016.05.06)
SQUID-2016:9 - Multiple Denial of Service issues in ESI Response processing. (squid.org, 2016.05.06)
Moodle security release 3.0.4, 2.9.6, 2.8.12, 2.7.14 (oss-sec ML, 2016.05.17)。MSA-16-0013 〜 MSA-16-0018 (MSA-16-0014 は欠番)。
TLS certificate check bypass with mbedTLS/PolarSSL (cURL, 2016.05.18)。libcurl 7.21.0〜7.48.0 に影響、7.49.0 で修正。
VMSA-2016-0005 - VMware product updates address critical and important security issues (VMware, 2016.05.17)。 vCenter Server 5.[015] / 6.0、 vCloud Director 5.[56].x / 8.0.x, vSphere Replication 5.[68].x / 6.[01].x, vRealize Operations Manager (非アプライアンス版) 6.x, VMware Workstation for Windows 11.x, VMware Player for Windows 7.x に影響。 CVE-2016-3427 CVE-2016-2077
ほとんどには patch がある。 vRealize Operations Manager (非アプライアンス版) 6.x については patch はないが回避策がある。 vSphere Replication 6.1.x for Linux だけ patch も回避策もない。 VMware Workstation for Windows は 11.1.3, VMware Player for Windows は 7.1.3 で修正。
出てます。
Cisco Web Security Appliance HTTP POST Denial of Service Vulnerability
Cisco Web Security Appliance Connection Denial of Service Vulnerability
Cisco Web Security Appliance HTTP Length Denial of Service Vulnerability
Cisco Web Security Appliance Cached Range Request Denial of Service Vulnerability
Cisco AsyncOS Software 9.0.1-162 で修正されている。また 9.1 系列には、これらの欠陥はない。
》 スズキ、午後4時に会長会見 法令外の試験方法で燃費データ取得 (ロイター, 5/18)
Firefox 46.0 / ESR 38.8.0 公開 (2016.05.06)
Firefox ESR 38 系列は 38.8 で終了なのですね。ESR 45.1.0、ESR 45.1.1 も出てました。
》 電通は日本のメディアを支配しているのか? (内田樹の研究室, 5/15)
》 入試問題のPDF保管に係わる著作権法上の不備について (旺文社, 5/16)
この原本を破棄しPDFデータを保存するという「媒体変換」の行為が、著作権法上の複製権に抵触する恐れがあることから、本件PDFデータを削除し、このような保管の方法を改めることとしました。著作権者・教育機関並びに各関係者の皆様に謹んでお詫び申し上げます。
本当に抵触するの?
関連: 旺文社、紙の入試問題をPDF化するも「著作権者の許諾なし」を理由に削除へ (弁護士ドットコム, 5/18)
》 Flash停止がついにChromeでデフォルトの初期設定になり再生ブロックされることが決定 (gigazine, 5/17)。2016 Q4。
》 携帯のGPS情報、本人通知なしで捜査利用 一部新機種 (朝日, 5/16)
今夏発売の携帯電話の新機種の一部から、捜査機関が、本人に通知することなく、GPS(全地球測位システム)の位置情報を取得できるようになる (中略) NTTドコモは、11日発表の基本ソフト(OS)「アンドロイド」を使うスマートフォン5機種で対応を始めるという。19日から順次発売する。
2016年夏 新商品7機種を開発・発売 (NTT, 5/11) にある「スマートフォン5機種」が対象。 au, ソフトバンクはまだ「検討中」だそうです。
携帯電話会社はこれまで、「この端末の位置情報が検索されようとしています」との表示を画面に出し、端末を振動させ、音も出すことで通知していた。(中略) 対応機種では本人通知せずに位置情報を得られるようになるという。(中略) ドコモは、既に発売済みの端末についても、ソフトの修正を通じて対応することを検討中という。(中略) 米アップルの「iPhone(アイフォーン)」は、同社や携帯電話会社からは、利用者の位置情報を取得できない仕組みをとっており、ガイドライン改定の影響は受けないという。
関連:
<通信事業者指針>改正へ 携帯位置情報を通知なく捜査利用 (毎日, 2015.05.25)
電気通信事業における個人情報保護に関するガイドライン及び解説の改正案に対する意見書 (日弁連, 2015.05.22)
》 年収100億円でも税率10%、日本もタックスヘイブンだった? 大企業と富裕層に優しい安倍政権の税制のカラクリ (リテラ, 5/16)
関連: 実は高くない大企業の法人税 (玉木雄一郎 / ハフィントンポスト, 3/9)
》 学校柔道 121件目の死亡事故 中上級者の頚部事故に向き合う (内田良, 5/16)
私が知る限り、この事案を報じたのは河北新報(続報1本を含む)のみである。この重大事案は、いまにも忘れ去られようとしている。(中略) この事故は、柔道における典型的な頚部外傷の事案である。(中略) 柔道事故についてはここ数年、頭部外傷(脳振盪や急性硬膜下血腫)の危険性が繰り返し指摘されてきたが、頚部外傷についてはまだ注意喚起が不十分である。
一般財団法人情報法制研究所設立、学際的な専門家の集積による政策提言目指す (WirelessWire News, 5/16)
「もう役所任せにしない」、情報法制の民間研究団体を企業や学者らが設立へ (日経 IT Pro, 5/17)
【コーポレート】LINE、一般財団法人 情報法制研究所の設立を支援 (LINE, 5/13)
情報法春季特別連続シンポジウム2016 第一回特別シンポジウム 「一般財団法人情報法制研究所」設立記念 (こくち〜ず)。5/14 に開催された。
》 オネエ呼ばわり「不快」 テレビ番組、差別助長の恐れ (毎日, 5/16)。能町みね子氏の件。関連:
能町みね子の「オネエは差別」抗議をクリス松村が批判! 美輪明宏、東郷健らによる「オカマ論争」の再燃か (リテラ, 2015.08.17)
能町みね子さん「LGBTが第一のアイデンティティなわけじゃない」 (ハフィントンポスト, 2015.09.04)
「私はオネエではありません」 能町みね子さんと考える、オネエの定義 (ハフィントンポスト, 2015.09.05)
》 フジテレビ『カスぺ!「あなたの知るかもしれない世界6」』2015年2月17日放送回
「自転車事故企画に対する申立て」に関する委員会決定 (BPO, 5/16)
「フジの番組で名誉に傷」 事故の遺族、BPO申し立て (朝日, 2015.07.05)
フジテレビ番組、BPO審理入り 当たり屋の再現ドラマ (朝日, 2015.09.16)
フジの情報バラエティー番組「倫理上問題」 BPO指摘 (朝日, 5/16)
Windows 版 iTunes に 1 件の欠陥。信頼できないディレクトリで iTunes インストーラーを実行すると、任意のコードが実行される。 CVE-2016-1742
iTunes 12.4 で修正されている。
これはひどい。これはやっちゃ駄目な奴。そうまでして Windows 10 にさせたいか Microsoft。
Windows 10自動アップデートを抑止する公式ツールが提供開始、通知アイコンの非表示も可能 (Internet Watch, 2016.05.23)。究極命題バータリー。
関連:
「Windows 10へのアップグレード阻止がより困難に」との報道にMicrosoftが即反論、日本では国会議員が質問主意書提出へ (gigazine, 2016.06.03)
パソコンの基本ソフトウェアの半強制的アップグレードに関する質問主意書 (参議院 第190回国会(常会))
Windows 10の強制アップグレード問題、国会答弁の内容が公表 (RBBToday, 2016.06.10)
Win10強制アップデート問題…マイクロソフトは「改善予定なし」 (読売, 2016.06.10)
関連:
半ば強引なWindows 10へのアップグレードをどう見るか 〜大河原氏、笠原氏、山田氏の視点 (PC Watch, 2016.06.16)。大河原克行氏の鋭い視線:
会見の最後には、記者との間に押し問答的なやりとりも行なわれた。ここでは、なんとか謝罪の言葉を引き出したいという記者の意図も感じられはしたが、強い口調での質問に、Windows事業部門の責任者が回答に窮し、広報担当者に発言のフォローを求めるというシーンが見られたことは残念だった。この問題に対して、事業責任者が真っ向から取り組んでいないことを証明することにもなってしまったからだ。
一方、山田祥平氏の上から目線:
きっと今、悲鳴を上げているのは愛用しているWindows 7を、そのハードウェア環境のライフサイクルが終わるまで、静かに使い続けたいと思っている個人のパワーユーザーのうち、失礼ながらあまり向上心を持たない一部の人たちだろう。分かっているパワーユーザーなら、あれだけしつこくアラートが出ればとっくにブロックしているはずだからだ。
<ウィンドウズ10>「読み上げソフト」でトラブル相次ぐ (毎日 / Yahoo, 2016.06.20)。勝手にアップグレードされて困っている視覚障害者が少なくない模様。
消費者庁、Windows 10無償アップグレードに関して注意を呼びかけ (PC Watch, 2016.06.22)、 Windows 10への無償アップグレードに関し、確認・留意が必要な事項について (消費者庁, 2016.06.22)
関連:
Microsoft、「Windows 10への意図しない更新で損害」ユーザーに1万ドル支払い (ITmedia / Yahoo, 2016.06.28)
今ごろになって抜本対応するようです。
ウィンドウズ10 「自動更新」見直し 「しない」選択可 (毎日, 2016.06.29)
Microsoft、Windows 10へのアップグレード通知画面を改善し“お断りボタン”を追加 (ITmedia, 2016.06.29)
なるべきものの大半はWindows 10になっただろうからもういいや、ってことでもあるんですかね。
抜本対応の件つづき。本日から開始だそうです。
ウィンドウズ10 新通知「無償アップグレードを辞退する」と表示 (毎日, 2016.07.01)
Windows 10 無償アップグレードの通知に関して (Microsoft, 2016.07.01)。 古い表示もあわせて、計 5 種類紹介されている。
【アプデ】 2016/07/01、WindowsUpdateにKB3173040が配信。Win10関連でございます (ニッチなPCゲーマーの環境構築, 2016.07.01)。 KB3173040、 KB3163589。
関連:
7月から画面変更。Windows 10無償アップグレードのキャンセル方法をあらためて確認する (PC Watch, 2016.07.04)
「Windows 10へのアップグレードのお知らせ」は最終段階になると画面全体を覆うことが判明 (gigazine, 2016.07.04)
Windows 10への無償アップグレードに関し、確認・留意が必要な事項について(情報更新) (消費者庁, 2016.07.05)
Windows 10へのアップグレードでカウントダウン画面が登場、ジャッジメント・デイの時迫る (gigazine, 2016.07.21)
APSB16-15 - Security updates available for Adobe Flash Player (2016.05.13)
Windows 8.1 / 10 内蔵版についても 21.0.0.242 が公開されていることを確認した。 手元の WSUS だと 2016.05.14 未明の同期で取得できていた。 MS16-064 も 2016.05.14 付で更新されている。
V2.0 (2016/05/14):このセキュリティ情報を更新し、Adobe Security Bulletin APSB16-15 に含まれる脆弱性を解決する更新プログラム 3163207 のリリースをお知らせします。更新プログラム 3163207 は、以前このセキュリティ情報で提供していた更新プログラムを置き換えます (更新プログラム 3157993)。マイクロソフトは、Adobe Security Bulletin APSB16-15 で説明されている脆弱性からシステムを保護するために、更新プログラム 3163207 を直ちにインストールすることを強く推奨します。
Windows 8.1 用 Adobe Flash Player のセキュリティ更新プログラム (KB3163207) など。 Flash Player 21.0.0.241 と 21.0.0.242 がどのように異なるのかは不明。
Symantec Antivirus Engine に欠陥。PE ヘッダの処理においてメモリ破壊が発生する欠陥があり、攻略 PE ヘッダを持つファイルを処理すると kernel crash を誘発する。 詳細:
Issue 820 - Symantec/Norton Antivirus ASPack Remote Heap/Pool memory corruption Vulnerability CVE-2016-2208 (Google Project Zero, 2016.05.06)
Symantec Anti-Virus Engine v 20151.1.1.4 で修正されている。LiveUpdate で更新される。
》 3月に発生した標的型攻撃キャンペーンの詳細が明らかに--100社以上からクレジットカード情報を窃取 (CNET, 5/13)。CVE-2016-0167 を利用した攻撃。
》 神奈川県議会方面。 質問制限が回避されて本当によかった! (ポリアンナ)
神奈川県議会で起きている これまでの経緯まとめ #神奈川県議会 (NAVER まとめ, 5/13 更新)
共産党の質問制限案どうなる 11日午前、神奈川県議会で議論 (カナロコ, 5/12)
「共産党の猛省を促す決議文」 県議会本会議で採決へ (カナロコ, 5/12)
神奈川県議会 特定政党の質問に制限かける動き (田中龍作 / BLOGOS, 5/12 13:43)
【神奈川県議会】自民「共産は未熟なので代表質問から外そう」とパージ (田中龍作 / BLOGOS, 5/12 16:33)
【神奈川県議会】有権者の監視が自・公・民進の横暴を はねのけた (田中龍作 / BLOGOS, 5/13)
東京国際空港 (羽田空港) C 滑走路地盤改良工事
弊社の施工工事において施工不良の疑いが判明した件について (東亜建設工業, 4/28)
羽田・滑走路 薬液注入管の全231本、計画位置に達せず (毎日, 5/7)。全部ダメって……。
東亜建設が羽田地盤改良工事データを改ざん 仕様書通り液状化対策を行ったように偽装 (東洋経済, 5/7)
滑走路工事 東亜建設工業 福岡、松山でもデータ改ざん (毎日, 5/13)
東亜建設工業(株) (Yahoo! JAPAN ファイナンス)
》 2020年東京オリンピック招致でIOC委員へ巨額の賄賂らしき裏金の存在が暴露される、電通の名も (gigazine, 5/12)。ソ・デ・ノ・シ・タ。
The Guardianによると、東京オリンピック招致委員会は、シンガポールにあるBlack Tidingsという銀行のトン氏の口座に130万ユーロ(約1億6000万円)を支払い、そのお金がトン氏→パパ氏→ディアク氏と流れており、不正な賄賂の疑いがあるとしてフランス当局が捜査に乗り出しているとのこと。
関連:
実は FACTA が先行していた (ガーディアンと共同取材)
買われた?東京五輪1――電通への質問状 (FACTA, 2/24)
買われた? 東京五輪2――電通の回答 (FACTA, 2/25)
買われた? 東京五輪3――組織委員会への質問状 (FACTA, 2/26)
買われた? 東京五輪4――ヒカリコは火中の栗拾わず (FACTA, 2/29)
買われた? 東京五輪5――ガーディアンがまた特ダネ (FACTA, 3/2)
「東京オリンピック招致委、IOC実力者に2億4800万円」 フランス検察当局認める (ハフィントンポスト, 5/13)。ソデノシタが増えてます。
イギリスのガーディアン紙によると、フランスの経済犯罪を捜査する検察当局は5月12日、200万ユーロ(約2億4800万円)以上の金額が、東京オリンピック招致委員会から、IOC委員で国際陸連(IAAF)前会長のラミン・ディアク氏の息子の秘密口座に送金されていた疑いがあるとして、「汚職とマネーロンダリング」の疑いで捜査していることを明らかにした。
東京オリンピック招致に買収疑惑 高まる報道不信 名指しされたJOC、電通の反応は? (BuzzFeed, 5/13)
【東京五輪】 招致疑惑「支払いは正当な対価」 萩生田官房副長官 (産経, 5/13)。その時マネーは動いた。
スポーツ庁、五輪疑惑調査へ JOCと東京都に要請 (神戸新聞, 5/13)
》 「11日間も注文がない……」 ドミノ・ピザの店員が顧客の命を救う (女性自身 / Yahoo, 5/12)。常連のお客様とのおつきあい。
》 #ヘイトスピーチは違法。 一歩前に進んだことは間違いない。
参院法務委員会、ヘイトスピーチ対策法(与党案)を全会一致で可決/今国会で成立へ 2016/5/12 (NAVER まとめ, 5/12)
ヘイト対策法成立へ 差別的言動に「著しい侮辱」も (東京, 5/12)
ヘイトスピーチ対策法、成立へ 関係者が悩みながら評価したその意義とは (ハフィントンポスト, 5/12)
ヘイトスピーチ修正案 参議院可決 今国会で法案成立へ (NHK, 5/13)
ヘイト対策法案、参院本会議で可決 今国会で成立へ (朝日, 5/13)
「米軍出ていけ」は排除的発言? ヘイトスピーチで揺れる沖縄 (週刊朝日, 5/13)
本邦外出身者に対する不当な差別的言動の解消に向けた取組の推進に関する法律案
「適法居住要件」は残ってしまっている模様。
「本邦外出身者に対する不当な差別的言動の解消に向けた取組の推進に関する法律案」の一部修正を求める会長声明 (日弁連, 5/10)
ヘイトスピーチ対策法「与党案」について考える――「適法居住」要件はなぜおかしいのか 明戸隆浩 / 多文化社会論 (SYNODOS, 4/25)
「適法居住要件」の削除を強く求める (東京弁護士会, 4/28)
「適法居住」要件の見直しを――国会で審議中の「ヘイトスピーチ対策法」与党案 (韓東賢 / Yahoo, 4/24)
》 お勧めホワイト ペーパー『マイクロソフト ID 保護ソリューション評価ガイド』 (山市良のえぬなんとかわーるど, 4/30)
》 5月はICPEN詐欺防止月間〜被害の未然防止や困ったときに役立つ情報を紹介(消費者庁) (so-net セキュリティ通信, 5/10)
》 PC/スマホ10億台のBIOSに埋め込まれた「ある機能」とは (日経 IT Pro, 4/28)。「OSを再インストールしても、特定のソフトウエアを自動的に復活させる」機能。
》 「モノのインターネットは、セキュリティの面では悪夢だ」EFFの警告 (techcrunch, 5/12)
》 「IoT開発におけるセキュリティ設計の手引き」を公開 (IPA, 5/12)
》 イタリア防衛省はオフィススイートをMicrosoft Officeから無料のLibreOfficeに移行して約36億円の節約に成功 (gigazine, 5/13)
》 Windows 10アップデートでPCの動作が異常に遅くなるエラーが発生 (gigazine, 5/12)。cortana を off にすることで回避できる模様。
》 匿名FTPサーバで重要情報が公開されていることへの注意喚起 (LAC, 5/13)
》 「アメーバ」5万件余の不正ログイン (NHK「かぶん」ブログ, 5/11)
》 マイクロソフト報奨金プログラムの拡張 – Nano Server Technical Preview の報奨金プログラム (日本のセキュリティチーム, 5/12)
熊本地震 被害受けた立野ダム建設中止を 知事に3団体 /熊本 (毎日, 5/11)
熊本地震 建設中ダム直下に活断層か 熊本・西原 (毎日, 5/13)
APSA16-02 - Security Advisory for Adobe Flash Player (2016.05.11)
APSB16-15 - Security updates available for Adobe Flash Player (Adobe, 2016.05.12) 公開。基本 21.0.0.242。
Flash Player 21.0.0.242 等公開。25 件のセキュリティ欠陥を修正。
プラットホーム | バージョン | Priority rating |
---|---|---|
Desktop Runtime (Windows, Mac) | 21.0.0.242 | 1 |
Extended Support Release (Windows, Mac) | 18.0.0.352 | 1 |
Google Chrome | 21.0.0.242 | 1 |
Windows Server 2012 の Internet Explorer 10 | 1 | |
Windows 8.1 / Server 2012 R2 / RT 8.1 の Internet Explorer 11 | 1 | |
Windows 10 の Internet Explorer 11 / Edge | 1 | |
Linux | 11.2.202.621 | 3 |
AIR Desktop Runtime | 21.0.0.215 | 3 |
AIR SDK | 21.0.0.215 | 3 |
AIR SDK & Compiler | 21.0.0.215 | 3 |
AIR for Android | 21.0.0.215 | 3 |
APSB16-15 では Windows 8.1 / 10 内蔵版は 21.0.0.242 となっているのだけど、 Adobe Flash Playerのバージョン (Adobe) によると 21.0.0.241 だし、実際に手元の Windows 8.1 でも 21.0.0.241 だ。
Windows 8.1 / 10 内蔵版についても 21.0.0.242 が公開されていることを確認した。 手元の WSUS だと 2016.05.14 未明の同期で取得できていた。 MS16-064 も 2016.05.14 付で更新されている。
V2.0 (2016/05/14):このセキュリティ情報を更新し、Adobe Security Bulletin APSB16-15 に含まれる脆弱性を解決する更新プログラム 3163207 のリリースをお知らせします。更新プログラム 3163207 は、以前このセキュリティ情報で提供していた更新プログラムを置き換えます (更新プログラム 3157993)。マイクロソフトは、Adobe Security Bulletin APSB16-15 で説明されている脆弱性からシステムを保護するために、更新プログラム 3163207 を直ちにインストールすることを強く推奨します。
Windows 8.1 用 Adobe Flash Player のセキュリティ更新プログラム (KB3163207) など。 Flash Player 21.0.0.241 と 21.0.0.242 がどのように異なるのかは不明。
解凍・圧縮ソフト「7-Zip」がメジャーアップデート、マルチボリュームZIPの解凍に対応 (窓の杜, 2016.05.12)
「7-Zip」v16.00には危険な脆弱性の修正も。「PeaZip」にもアップデートが提供される (窓の杜, 2016.05.13)
Multiple 7-Zip Vulnerabilities Discovered by Talos (Cisco Talos, 2016.05.11)
Jenkins Security Advisory 2016-05-11 (Jenkins, 2016.05.11)。Jenkins 2.3 / LTS 1.651.2 で修正されている。
SYM16-007 - Security Advisories Relating to Symantec Products - Symantec Messaging Gateway 10.6.x ACE Library Static Link to Vulnerable SSL Version (Symantec, 2016.05.12)。10.6.1-3 で修正されている。
Messaging Gateway といえば、先月、 SYM16-005 - Security Advisories Relating to Symantec Products - Symantec Messaging Gateway Multiple Security Issues (Symantec, 2016.04.18) というのが出たばかりだったのですね。
http://w1.fi/security/2016-1/ で直る話のようです。
JVNDB-2016-002540 - wpa_supplicant における任意のライブラリのロードを誘発される脆弱性 (JVN, 2016.05.12)
JVNDB-2016-002539 - hostapd および wpa_supplicant におけるサービス運用妨害 (DoS) の脆弱性 (JVN, 2016.05.12)
JVNDB-2016-002541 - Mercurial の convert エクステンションにおける任意のコードを実行される脆弱性 (JVN, 2016.05.12)。Mercurial 3.8 で修正されている (最新は 3.8.1)。
》 サイバー攻撃 中学校被害、高1男子を書類送検 大阪府警 (毎日, 5/12)。DoS 攻撃ですか。
府警警備総務課によると、アクセスは最多で10分間に1万5063回に達し
15,063 / (60*10) = 平均 25 req/s、でいいのかな。
》 神奈川県議会で起きている これまでの経緯まとめ #神奈川県議会 (NAVER まとめ, 5/12)。共産党はいろいろとヘマをやっているようだが、だからと言って代表質問権を奪ってはいかんだろう。
@harumi19762015 議会の「お作法」なんですが、改選前の共産はゼロ議席(その前は1)だったわけで、会派としての振る舞いについては一年生なんですよね。普通は県職員からレクチュアがあるはずなんですが。
— インドア派キャンパー (@I_hate_camp) 2016年5月11日
浅野内匠頭に次々と嫌がらせする吉良上野介みたいな構図を感じます。笑
事務方がオール与党に汚染されているんだろうか……?
》 山口英さん死去、52歳 初代情報セキュリティー補佐官 (朝日, 5/12)。若すぎるよなあ。合掌。
APSA16-02 - Security Advisory for Adobe Flash Player (2016.05.11)
Chrome 50.0.2661.102 が公開された。 内蔵 Flash Player も 21.0.0.242 に更新されており、本件が修正されていると考えられる。
Chrome 50.0.2661.102 公開。5 件のセキュリティ修正を含む。内蔵 Flash Player も 21.0.0.242 に更新されており、 APSA16-02 - Security Advisory for Adobe Flash Player の件が修正されていると考えられる。
》 菅野完氏による話題の書籍『日本会議の研究』に対し、日本会議サイドが出版差し止めを要求〔書評&社説〕 (やや日刊カルト新聞, 5/9)
》 研究用原子炉 新規制基準で初の"合格"審査書決定 (NHK「かぶん」ブログ, 5/11)。京都大学、近畿大学。
》 5億円以上の価値を持つ「マクラーレン・F1」のメンテナンスには20年前のCompaq製ノートPCが不可欠と判明 (gigazine, 5/6)。ベンダーロックイン。
「マクラーレン・F1には、ノートPCと自動車を接続するためのDOSベースで動く特注のCAカードが使用されており、CAカードを使ってメンテナンスができるのはLTE 5280 laptopのみだから」
》 Googleが目の中に液体コンピュータを注入する「眼球内デバイス」の特許を申請 (gigazine, 5/9)
》 サイバー新国家資格「情報処理安全確保支援士」の全容、講習義務化で能力維持 (日経 IT Pro, 5/10)
》 「企業のCISOやCSIRTに関する実態調査2016」報告書について (IPA, 5/10)
》 「ハードウェアセキュリティセミナー (技術コース・入門編)」開催のご案内 (IPA, 5/10)。2016.06.07、東京都文京区、2,000円。
》 「ハードウェアセキュリティセミナー (導入コース)」開催のご案内 (IPA, 5/10)。2016.05.24、東京都文京区、1,000円。
》 セキュリティ インテリジェンス レポート (SIR) 第 20 版公開 (日本のセキュリティチーム, 5/9)
》 SHA-1 廃止に関するロードマップの最新情報 (日本のセキュリティチーム, 5/6)
》 The long-term fix for KB3148812 issues (WSUS Product Team Blog, 5/5)。KB3159706 - Update enables ESD decryption provision in WSUS in Windows Server 2012 and Windows Server 2012 R2 が公開されました。適用後に手動操作が必要なので、 KB3159706 を見ながら実施。
出ました。MS16-063 が欠番になってます。
こんなかんじ。
CVE | 概要 | IE 9 | IE 10 | IE 11 | IE 11 (Win10) | Edge | 悪用可能性評価 |
---|---|---|---|---|---|---|---|
CVE-2016-0186 | スクリプト エンジンのメモリ破損の脆弱性 | ✓ | 1 | ||||
CVE-2016-0187 | スクリプト エンジンのメモリ破損の脆弱性 | ✓ | ✓ | ✓ | ✓ | 1 | |
CVE-2016-0188 | セキュリティ機能のバイパス | ✓ | 3 | ||||
CVE-2016-0189 | スクリプト エンジンのメモリ破損の脆弱性 | ✓ | ✓ | ✓ | ✓ | 0 | |
CVE-2016-0191 | スクリプト エンジンのメモリ破損の脆弱性 | ✓ | 1 | ||||
CVE-2016-0192 | メモリの破損の脆弱性 | ✓ | ✓ | ✓ | ✓ | ✓ | 1 |
CVE-2016-0193 | スクリプト エンジンのメモリ破損の脆弱性 | ✓ | 1 | ||||
CVE-2016-0194 | 情報漏えいの脆弱性 | ✓ | ✓ | ✓ | 2 |
関連:
韓国で標的型攻撃に利用される Internet Explorer のゼロデイ脆弱性 (シマンテック, 2016.05.10)。 CVE-2016-0189 は 0-day だそうです。
MS16-053 - 緊急: JScript および VBScript 用の累積的なセキュリティ更新プログラム (3156764)
Windows Vista / Server 2008 / Server 2008 R2 Server Core に欠陥。 スクリプト エンジンに 2 件の欠陥があり、IE を介して攻撃を受ける。 上記の CVE-2016-0187 CVE-2016-0189。
Office 2007 / 2010 / 2013 / 2016、Office for Mac 2011、 Office 2016 for Mac、Office 互換機能パック SP3、Word Viewer、 SharePoint Server 2010、Office Web Apps 2010 に 4 件の欠陥。
CVE | 概要 | 悪用可能性評価 |
---|---|---|
CVE-2016-0126 | メモリ破損の脆弱性 | 2 |
CVE-2016-0140 | 1 | |
CVE-2016-0198 | 2 | |
CVE-2016-0183 | Office Graphics の RCE の脆弱性 | 1 |
MS16-055 - 緊急: Microsoft Graphics コンポーネント用のセキュリティ更新プログラム (3156754)
Windows Vista / Server 2008、7 / Server 2008 R2、 8.1 / Server 2012 / Server 2012 R2 / RT 8.1、10 に欠陥。
CVE | 概要 | 悪用可能性評価 |
---|---|---|
CVE-2016-0168 | Windows Graphics コンポーネントの情報漏えいの脆弱性 | 2 |
CVE-2016-0169 | 1 | |
CVE-2016-0170 | Windows Graphics コンポーネントの RCE の脆弱性 | 2 |
CVE-2016-0184 | Direct3D の解放後使用の脆弱性 | 1 |
CVE-2016-0195 | Windows Imaging Component のメモリ破損の脆弱性 | 2 |
Windows Vista、7、8.1、RT 8.1、10 に欠陥。 Windows Journal に欠陥があり、 攻略ジャーナル ファイルを開くと任意のコードが実行ざれる。 CVE-2016-0182。悪用可能性評価: 3
Windows 8.1 / RT 8.1 / Server 2012 R2、 10 に欠陥。攻略 Web ページを閲覧すると任意のコードが実行される。 CVE-2016-0179。 悪用可能性評価: 2
Windows Vista / Server 2008 に欠陥。Windows DLL 読み込みの欠陥 CVE-2016-0152。悪用可能性評価: 2
MS16-059 - 重要: Windows Media Center 用のセキュリティ更新プログラム (3150220)
Windows Vista、7、8.1 に欠陥。Windows Media Center に欠陥があり、 攻略 mcl ファイルを開くと任意のコードが実行される。CVE-2016-0185。悪用可能性評価: 2
Windows Vista / Server 2008、7 / Server 2008 R2、 8.1 / Server 2012 / Server 2012 R2 / RT 8.1、10 に欠陥。 Windows カーネルにおけるシンボリックリンクの処理に欠陥があり、local user が攻略アプリによって権限上昇が可能。CVE-2016-0180。悪用可能性評価: 2
Windows Vista / Server 2008、7 / Server 2008 R2、 8.1 / Server 2012 / Server 2012 R2 / RT 8.1、10 に欠陥。 RPC Network Data Representation Engine に欠陥があり、攻略 RPC リクエストによって任意のコードを実行できる。 CVE-2016-0178。悪用可能性評価: 2
MS16-062 – 重要: Windows カーネルモード ドライバー用のセキュリティ更新プログラム (3158222)
Windows Vista / Server 2008、7 / Server 2008 R2、 8.1 / Server 2012 / Server 2012 R2 / RT 8.1、10 のカーネルモード ドライバーに複数の欠陥。
CVE | 概要 | 悪用可能性評価 | 特記事項 |
---|---|---|---|
CVE-2016-0171 CVE-2016-0173 CVE-2016-0174 CVE-2016-0196 |
Win32k の特権の昇格の脆弱性 | 1 | local user による攻撃 |
CVE-2016-0175 | Win32k の情報漏えいの脆弱性 | 2 | |
CVE-2016-0176 | DirectX グラフィック カーネル サブシステムの特権の昇格の脆弱性 | 1 | |
CVE-2016-0197 | 3 |
APSA16-02 - Security Advisory for Adobe Flash Player の件。 CVE-2016-1096 CVE-2016-1097 CVE-2016-1098 CVE-2016-1099 CVE-2016-1100 CVE-2016-1101 CVE-2016-1102 CVE-2016-1103 CVE-2016-1104 CVE-2016-1105 CVE-2016-1106 CVE-2016-1107 CVE-2016-1108 CVE-2016-1109 CVE-2016-1110 CVE-2016-4108 CVE-2016-4109 CVE-2016-4110 CVE-2016-4111 CVE-2016-4112 CVE-2016-4113 CVE-2016-4114 CVE-2016-4115 CVE-2016-4116
.NET Framework 2.0 SP2、3.5 / 3.5.1、4.5.2、4.6 / 4.6.1 に欠陥。TLS/SSL プロトコルに情報漏えいの脆弱性 CVE-2016-0149。悪用可能性評価: 3
Windows 10 に欠陥。セキュリティ機能「ハイパーバイザーによるコードの整合性 (HVCI)」を回避できる。 CVE-2016-0181。悪用可能性評価: 3
Windows 8.1 / Server 2012 / Server 2012 R2 / RT 8.1 に欠陥。 RemoteFX を使っていて、RDP 経由でマウントしている USB ディスクが、 マウントしているユーザーのセッションに正しく結びつけられてない場合に欠陥があり、攻撃者が USB ディスクのファイル・ディレクトリ情報を取得できる。 CVE-2016-0190。悪用可能性評価: 3
関連:
2016 年 5 月のセキュリティ情報 (月例) – MS16-051 〜 MS16-062, MS16-064 〜 MS16-067 (日本のセキュリティチーム, 2016.05.11)
Windows、Macintosh、Linux、Chrome OS 版の Flash Player 21.0.0.226 以前に 0-day 欠陥 CVE-2016-4117。修正版は 2016.05.12 (US 時間、日本では 2016.05.13) に公開される予定。
Windows 8.1 / 10 内蔵用は先行して公開されてます: MS16-064 - 緊急: Adobe Flash Player のセキュリティ更新プログラム (3157993) (Microsoft, 2016.05.11)。21.0.0.241。
Chrome 50.0.2661.102 が公開された。 内蔵 Flash Player も 21.0.0.242 に更新されており、本件が修正されていると考えられる。
APSB16-15 - Security updates available for Adobe Flash Player (Adobe, 2016.05.12) 公開。基本 21.0.0.242。
関連:
Adobe Flash Playerに存在する脆弱性「CVE-2016-4117」を検証。Pawn Storm作戦に利用された脆弱性と類似 (トレンドマイクロ セキュリティ blog, 2016.05.18)
活発な「Pawn Storm作戦」、独「キリスト教民主同盟」を標的 (トレンドマイクロ セキュリティ blog, 2016.05.18)
Acrobat / Acrobat Reader 更新出ました。92 件 (!) のセキュリティ欠陥が修正されています。0-day は無いようです。 CVE-2016-1037 CVE-2016-1038 CVE-2016-1039 CVE-2016-1040 CVE-2016-1041 CVE-2016-1042 CVE-2016-1043 CVE-2016-1044 CVE-2016-1045 CVE-2016-1046 CVE-2016-1047 CVE-2016-1048 CVE-2016-1049 CVE-2016-1050 CVE-2016-1051 CVE-2016-1052 CVE-2016-1053 CVE-2016-1054 CVE-2016-1055 CVE-2016-1056 CVE-2016-1057 CVE-2016-1058 CVE-2016-1059 CVE-2016-1060 CVE-2016-1061 CVE-2016-1062 CVE-2016-1063 CVE-2016-1064 CVE-2016-1065 CVE-2016-1066 CVE-2016-1067 CVE-2016-1068 CVE-2016-1069 CVE-2016-1070 CVE-2016-1071 CVE-2016-1072 CVE-2016-1073 CVE-2016-1074 CVE-2016-1075 CVE-2016-1076 CVE-2016-1077 CVE-2016-1078 CVE-2016-1079 CVE-2016-1080 CVE-2016-1081 CVE-2016-1082 CVE-2016-1083 CVE-2016-1084 CVE-2016-1085 CVE-2016-1086 CVE-2016-1087 CVE-2016-1088 CVE-2016-1090 CVE-2016-1092 CVE-2016-1093 CVE-2016-1094 CVE-2016-1095 CVE-2016-1112 CVE-2016-1116 CVE-2016-1117 CVE-2016-1118 CVE-2016-1119 CVE-2016-1120 CVE-2016-1121 CVE-2016-1122 CVE-2016-1123 CVE-2016-1124 CVE-2016-1125 CVE-2016-1126 CVE-2016-1127 CVE-2016-1128 CVE-2016-1129 CVE-2016-1130 CVE-2016-4088 CVE-2016-4089 CVE-2016-4090 CVE-2016-4091 CVE-2016-4092 CVE-2016-4093 CVE-2016-4094 CVE-2016-4096 CVE-2016-4097 CVE-2016-4098 CVE-2016-4099 CVE-2016-4100 CVE-2016-4101 CVE-2016-4102 CVE-2016-4103 CVE-2016-4104 CVE-2016-4105 CVE-2016-4106 CVE-2016-4107
以下が最新:
名称 | トラック | バージョン |
---|---|---|
Acrobat DC / Acrobat Reader DC | Continuous | 15.016.20039 |
Classic | 15.006.30172 | |
Acrobat XI / Adobe Reader XI | Desktop | 11.0.16 |
Priority Rating はいずれも 2。
Subversion 1.9.4 / 1.8.16 公開。
[ANNOUNCE][SECURITY] Apache Subversion 1.9.4 released (apache.org, 2016.04.28)
[ANNOUNCE][SECURITY] Apache Subversion 1.8.16 released (apache.org, 2016.04.28)
2 件の欠陥を修正だそうです。
JVNDB-2015-007120 - OpenSSH の sshd の session.c 内の do_setup_env 関数における権限を取得される脆弱性 (JVN, 2016.05.10)。OpenSSH 7.2p2 も該当。patch。
JVNVU#93657776 - libarchive の入力値検証不備に起因するバッファオーバーフローの脆弱性 (JVN, 2016.05.06)。libarchive 3.2.0 で修正されている。
Symantec Endpoint Encryption 11.x の欠陥。11.1.1 で修正されている。 CVE-2015-8156
マカフィーの複数のエンドポイント製品に欠陥、自製品を保護する機構を回避できる。
McAfee VirusScan Enterprise security restrictions bypass (Mediaservice.net)
McAfee VirusScan Enterprise 8.8 - Security Restrictions Bypass (exploit-db.com)
McAfee Agent 5.x や Host Intrusion Prevention Service 8.0 などについては 2 月中に修正されたけど、4/29 にようやく VSE 8.8 patch 6/7 用の Hotfix 1123565 が出たそうで。
Trend Micro Email Encryption 5.5 build 1073 以前に SQL インジェクションを許す欠陥があり、認証の回避に悪用されるおそれ。5.5 build 1107 で修正されている。
》 人工知能の創作物に著作権? 政府が知財制度を見直しへ (ITmedia, 5/10)
ランサムウェア「CryptXXX」に暗号化されたデータの復号ツールをKasperskyが無償公 (窓の杜, 5/10)
身代金を要求するランサムウェアは最大のサイバー脅威--カスペルスキーQ1報告 (ZDNet, 5/10)
ランサムウェアの最新事情と8つのベストプラクティス - ソフォス (マイナビニュース, 5/10)
トレンドマイクロ、非ユーザーでも無料のランサムウェア相談窓口を期間限定で開設 (Internet Watch, 5/10)
ITジャーナリスト三上洋がセキュリティトレンドを分析 ランサムウェアがビジネス化して、信用を重視しはじめてきた (ascii.jp, 5/9)
》 FTCとFCC、スマホの脆弱性情報の報告を端末メーカー8社と通信事業者6社に求める (Internet Watch, 5/10)
FCCではAndroid OSにおける脆弱性「Stagefright」を例に、脆弱性が長期にわたって放置され、消費者が保護されていない現状について、FTCと協調して改善を図るとしている。
》 その男、ロドリゴ・ドゥテルテ (フィリピン大統領候補、当選確実)
泣く子も黙る“武闘派”市長! 悪人を瞬殺する政策がヤバすぎる!=フィリピン (トカナ, 2015.07.31)
ドゥテルテ、なぜ? 波乱含みの隣国フィリピン (ハフィントンポスト, 5/10)
「フィリピンのトランプ」ロドリゴ・ドゥテルテ氏が大統領に当選確実 どんな人? (ハフィントンポスト, 5/10)
下ネタ連発、法王に暴言…比大統領選で優勢 「私刑執行人」の過激発言 (AFPBB, 5/9)
フィリピン次期大統領ドゥテルテ氏、意外に深い華人とのつながり (ニューズウィーク日本版, 5/10)
政策委員会審議委員:櫻井眞(さくらいまこと) (日本銀行)。英語版。
4月から就任した日銀審議委員の経歴疑惑に東大困惑 (NEWS ポストセブン, 5/9)。「恐らくこの方は博士号を持っていない」
日銀審議委員の修論はペラ4枚で「こんなの見たことない…」 (NEWS ポストセブン, 5/10)。あり得ねえ。
安倍官邸が送り込んだ日本銀行審議委員に「ショーンK氏」並みの経歴詐称と「小保方氏」ばりの杜撰論文が発覚 (リテラ / BIGLOBE, 5/9)
日銀審議委員櫻井井眞氏の学歴が、日銀のサイトでは、日本語と英語で違う件 (天漢日乗, 5/9)。なんじゃこりゃ。
ImageMagick の脆弱性 (CVE-2016-3714) に関する注意喚起 (2016.05.06)
ImageMagick 6.9.4-0 / 7.0.1-2 に関する記述を追加・修正。
ImageMagickの脆弱性(ImageTragick) (てきとうなメモ, 2016.05.08)
RHSA-2016:0726-1 - Important: ImageMagick security update (Red Hat, 2016.05.09)
[重要] ImageMagick の脆弱性 ImageTragick (CVE-2016-3714) への対応について (six apart, 2016.05.06)
ImageMagickの脆弱性に対応したケータイキット for Movable Type Ver.1.66の提供を開始 (アイデアマンズ, 2016.05.10)
》 引っ越し会社、弁済金を給与天引き 値下げ競争の陰で従業員が涙 (中日, 5/9)
》 紅茶専門店TEAS Liyn-an はJASRACに著作権料を払ってません (紅茶専門店 ティーズリンアン 店主のブログ, 5/4)
昨年の6月に、日本音楽著作権協会:JASRACから契約書と共に支払い請求の通知が来ました。
「著作権料を払え!」って言って来ました。
(中略)
で、対決する気満々でJASRACさんを待ちました。
にこやかに挨拶して、契約する気を見せながら著作権の話を始めると、「少し調べさせていただきましたが、クラシックばかりかけていらっしゃいますよね。」「JASRACが管理しているのは作曲と作詞だけで、著作隣接権は管理していませんので、契約しなくてもいいです。」って!!
なんじゃそりゃー。
》 Import APIとFuzzy Hashingでマルウエアを分類する 〜impfuzzy〜 (JPCERT/CC, 5/9)
本手法は、Import APIを基に類似度を判定しているため、マルウエア作成ツール(ビルダー)が公開されている検体(例えば、PonyやZeuSなど)は、使用するWindows APIも変化する可能性が少ないため一致率が高いことがわかります。
反対に、Emdiviのように積極的に機能の追加や改良が行なわれている検体は、判別率が低いことがわかります。
》 ハーバード大がSTAP特許出願に審査請求 (栗原潔 / Yahoo, 5/9)。まだだ、まだ終わらんよ。
》 匿名の攻撃、炎上の恐怖 「ヘイト」と法規制 (京都新聞, 5/7)
》 【重要なお知らせ】5/14(土)本学への爆破予告への対応について (立命館大学, 5/9)。えらいこっちゃ。
関連: 立命館が爆破予告され話題に→すでに新歓で爆発していた!「すでに壊れてます」「から揚げの次は校舎か」 (togetter, 5/9)
》 自動運転車の統一的法整備求める Google、Ford、Uberらが新企業連合 (クラウド Watch, 5/2)
》 「拳銃泳がせ捜査」めぐる裁判で有罪判決 奈良地裁支部 (朝日, 5/9)。奈良地裁ですが大阪府警ねた。 関連:
衝撃のデタラメぶり 大阪府警、スパイ運用で大失敗 拳銃3丁が行方不明 (いまにしのりゆき 商売繁盛でささもって来い!, 2014.11.04)
大阪府警の失態をスパイが告白 売買見逃した拳銃3丁がまだ野放し状態 (週刊朝日, 2014.11.04)
本誌スクープ 拳銃スパイ公判で大阪府警が報酬を認める (週刊朝日, 2015.02.18)
大阪府警の拳銃行方不明事件 ●●被告の被告人質問で王将事件に言及か? (いまにしのりゆき 商売繁盛でささもって来い!, 2015.03.01)
「私は府警のS(エス)」〝泳がせ捜査〟協力はウソか真実か…暴露した男と警部「兄弟分の証」は靖国のストラップ? (産経, 2015.04.06)
被告席の「S」が語る“泳がせ捜査”は“作り話”か… 大阪府警は真っ向対立、判決期日取り消し異例法廷 (産経, 2015.07.13)
大阪府警の協力者が銃保管 「泳がせ捜査で無罪」と主張 (朝日, 5/9)
寺澤有氏のツイート:
「泳がせ捜査で無罪」と主張 https://t.co/OtSAYuOwRQ 「泳がせ捜査」と「裏金作り」という警察の違法行為について詳述しているのが『追補版 警察内部告発者 ノンキャリア最高幹部が見た闇』 https://t.co/FDk1SYdGKW 。判決の参考に、ぜひ。
— 寺澤有 (@Yu_TERASAWA) 2016年5月8日
「北海道警と函館税関が『泳がせ捜査』に失敗し、覚せい剤130キロと大麻2トンが密輸された疑いがある」と報じた『北海道新聞』2005年3月13日朝刊。この記事に道警が強く反発し、道新は2006年1月14日朝刊で「おわび」を掲載します。 https://t.co/P6gI4n5nUz
— 寺澤有 (@Yu_TERASAWA) 2016年5月9日
しかし、後年、北海道警と函館税関による「泳がせ捜査」失敗の内実は、一般人が想像もできないもの(ただし、長年、警察を取材してきた私からすれば常識)だったことが、稲葉圭昭元道警警部の告白などで明らかになります。 https://t.co/wwt8BmRbkj
— 寺澤有 (@Yu_TERASAWA) 2016年5月9日
》 ドラマ「99.9」第4話(視聴済みの方へ) (南山法律事務所, 5/8)
》 学生はティーチングアシスタントが実際には人間ではなくロボットだったことに気づかなかった (gigazine, 5/9)。IBM の Watson をオンライン TA として採用。パーソナルネームは「Jill Watson」。
「97%以上の精度で正しく答えられる」と判断した質問にのみ応答することにして (中略) Jillが人間ではなくコンピューターであるという種明かしをされるまでに、Jillがコンピューターだと見抜いた学生はいなかった
》 今ならまだ無料!Windows 10を昔のPCに入れる手順をおさらい (窓の杜, 5/9)
さらに無償アップグレードの対象PCは、Windows 10にアップグレード後、元のOSに戻すこともでき、一度Windows 10アップグレードが認証されれば、無償アップグレード期間が終了した後も、再度Windows 10にアップグレードできるとされる。つまり“一度でもアップグレードしておけば、後々アップグレードする場合でも無償にできる”という寸法だ。
地震被害の熊本城をドローン撮影 崩れた石垣、落ちた瓦……各社が映像公開 (ITmedia, 5/6)
ストーカーから軍事用途、テロ、刑務所内への密輸などさまざまな運用がされるドローン (スラド, 5/6)
》 2.7億件のログイン情報流出との報道、ほぼすべてのパスワードは無効--グーグルら声明 (CNET, 5/9)。 Gmail・Hotmail・Yahoo!などから2億7200万件のメールアドレスとパスワードが流出したことが判明 (gigazine, 5/6) の件、「Hold Security (中略) の設立者であるアレックス・ホールデン氏によると、流出したアドレスはMail.ruが5700万件、Yahoo!が4000万件、Hotmailが3300万件で、Gmailが2400万件」とされたものの、大半は無効だった模様。 しかし母数が母数なので、大半は無効と言われても……
Mail.Ruはさらに詳細な情報を明かし、対応する電子メールアドレスで有効なパスワードはわずか0.018%にすぎなかったと述べた。
1 万件ほどは有効だったと。
Google (中略) 関係者は (中略) 「今回の調査対象となったGoogleアカウント認証情報の98%以上はでたらめであることが判明した。
48 万件弱はでたらめではないと。
》 ClamAV 0.99.2 has been released! (ClamAV, 5/3)。戸井さん情報ありがとうございます。
ArubaOS、Aruba Instant、AirWave Management Platform に欠陥。
ARUBA-PSA-2016-004 - Aruba Instant Multiple Vulnerabilities (Aruba, 2016.05.04)。Aruba Instant AP (IAP) 4.1.3.0 / 4.2.3.1 で修正されている。
ARUBA-PSA-2016-005 - AirWave Management Platform Multiple Vulnerabilities (Aruba, 2016.05.04)。AirWave 8.2.0 で修正されている。
ARUBA-PSA-2016-006 - ArubaOS PAPI Vulnerabilities (Aruba, 2016.05.04)。Aruba 製品の管理・制御に使用されている PAPI プロトコルに複数の欠陥。
詳細: CONTROL PLANE SECURITY BEST PRACTICES - PAPI, CPSEC, AND RISK MITIGATION (Aruba)。 Aruba IAP 4.1.3.0 / 4.2.3.1 および ArubaOS 6.5 で部分的に対応されているものの、根本解決には至らず。DTLS ベースのプロトコルを新規作成して解決される予定。
WordPress 4.5.2 公開。4.5.1 以前の 2 件のセキュリティ欠陥を修正。
同梱されている 3rd パーティーライブラリ Plupload に SOME (Same Origin Method Execution) 欠陥
同梱されている 3rd パーティーライブラリ MediaElement.js に反射型 XSS 欠陥
関連:
》 10年前から密かに活動していたサイバースパイ集団「Tick」、日本のテクノロジー系/水産工学系/報道系の特定企業に集中攻撃 (Internet Watch, 5/6)
》 海の向こうの“セキュリティ” USBメモリばらまき実験/セキュリティベンダーの年次報告書 (Internet Watch, 5/3)
》 タカタ エアバッグ追加リコール4000万個 米と合意 (毎日, 5/7)。はぁ……。ウチのクルマの封印されたタカタエアバッグはいつ直るんだろう。
甘利問題、今なお消極見解を述べる宗像紀夫弁護士・内閣官房参与 (郷原信郎が斬る, 4/28)
甘利問題、検察捜査のポイントと見通し①(あっせん利得処罰法違反) (郷原信郎が斬る, 4/28)
》 日銀が作った『5分で読めるマイナス金利』にメガバンク行員がブチ切れた! 「ケンカ売ってんのか」 (現代ビジネス, 4/13)。 関連:
コラム:黒田サプライズの代償=永井靖敏氏 (ロイター, 5/4)
中央銀行は馬鹿なのか (ニューズウィーク日本版, 5/2)
》 【和訳】明大レペタ教授が警告する『自民党憲法改正案の最も危険な10の項目』(総合リンク集) (In the Eyes of Étranger, 5/1)
南シナ海:スカボロー礁めぐり米中の緊張高まる…新たな埋め立てを急ぐ中国、対抗する米比 (NewSphere, 4/29)
中国が渇望する「南シナ海有事」に備えよ 日中外相会談、4時間20分の「先」を読む (日経ビジネス, 5/4)
》 「記事の事前チェック」はアリなのか 「高市発言」きっかけに考える国とメディアの関係性 (日経ビジネス, 4/20)
》 稲田朋美サイドが在特会報道に続き「ともみの酒」問題で「週刊新潮」に敗訴! メディアはスラップ訴訟に臆するな (リテラ, 4/29)
》 日本政府が東日本大震災にどう法的に対処したかに関する米国連邦議会図書館の調査報告 (togetter, 4/23)
》 新潟焼山2016年5月噴火 (togetter, 5/6)。「火山観測はできるけど噴火観察ができない気象庁の無能力がまた露呈した」
》 【豪次期潜水艦落選】 原潜視野に仏を選択か 豪紙が報じる (産経, 5/2)、 Coalition plans nuclear-powered submarine fleet over long term (afr.com, 5/1)。このオプションは日本には提示できないからなあ。 まあ、他の面でも負けてたんだろうけど。
新幹線全駅の掲示板ダウン、表示できず…JR東 (読売, 5/5)
同システムで設定された上限の運行本数は2日間で計1600本。通常は同1400本程度だが、臨時列車などのため3、4日で計1606本に上り、システムがダウンした
新幹線の電光掲示板トラブル システム設定ミスか (NHK, 5/4)
3日と4日の2日間でシステムの上限の1600本を超える列車を運行するダイヤを組んだのに、設定を変更していなかった
》 “三菱グループの天皇”が息子の三菱自動車社長擁護のため「燃費なんてコマーシャル、誰も気にしていない」と暴言! (リテラ, 5/5)
“三菱グループの天皇”といわれる相川賢太郎三菱重工相談役
三菱重工は、航空機や艦船もそういう感覚でつくっていらっしゃるんですかね。 MRJ の燃費なんてコマーシャル、誰も気にしていないと? そんなわけないでしょ。
不祥事の当事者である三菱自動車工業の相川哲郎社長(62)の父親でもある
うわ……。この父にして、ですか。関連:
三菱自動車の生死を分ける“第三者委員会” (郷原信郎が斬る, 4/25)
三菱自動車の「第三者委員会」が担う役割と今後の課題 (郷原信郎が斬る, 5/6)
》 匿名アクセスを可能にする「Tor」の前開発者がFBIのためにTorユーザーをハックするマルウェアを開発していたことが判明 (gigazine, 5/2)
》 トイレの「ジェットドライヤー」はウイルスを大量に拡散する:調査結果 (WIRED, 5/1)。「ペーパータオル、標準的な温風タイプのハンドドライヤー、そしてダイソンの製造するジェットドライヤー」の 3 つを比較したそうで。
6つの高さすべてからのデータを分析したところ、ジェットドライヤーは温風ドライヤーの60倍、ペーパータオルの1,300倍のプラークを発生させた。ジェットドライヤーが放出したウイルスの70パーセントは、小さな子どもの顔の位置に集中していた。 (中略) ジェットドライヤーの場合、送風から15分が経過しても、温風ドライヤーを使用した場合の50倍、ペーパータオルを使用した場合の100倍の数のウイルス粒子が空気中に存在していた。
》 Craig Wright、「証拠は公表したくない」―オーストラリア人起業家、Bitcoinを発明したとの主張から後退 (techcrunch, 5/6)。クレイグ・ライト氏、結局ホラだったのか?
》 Recommended KB 3133977 patch can cause Asus PCs to freeze (InfoWorld, 5/4)、 After installing Microsoft Update KB3133977 for Windows 7, some users may encounter a "Secure Boot Violation" , which makes the system fail to boot into the operating system. (asus FAQ 1016356)。asus + Windows 7 + KB3133977 の環境で UEFI モードだと起動しないと。UEFI モードをやめれば ok。
こちらのツイートが関連だろうか: https://twitter.com/laslyn/status/721565291075899392 https://twitter.com/laslyn/status/721618607633870849
ケータイキット for Movable Typeの脆弱性について (2016.04.25)
関連:
【重要】ケータイキット for Movable Typeの脆弱性をチェックする「KeitaiKit セキュリティチェック」プラグインを公開、[購入者向け]ケータイキットの脆弱性対策 特設ページを開設 (アイデアマンズ, 2016.04.25)
【重要】ケータイキット for Movable Typeの脆弱性により設置された不正ファイルを、詳細に発見・検査するツールを提供 (アイデアマンズ, 2016.04.28)
ケータイキット for Movable Type ライセンス登録状況の専用問い合わせ窓口 (アイデアマンズ, 2016.05.02)
ケータイキット for Movable Type の脆弱性 (CVE-2016-1204) に関する注意喚起 (JPCERT/CC, 2016.05.06 更新)
お客様情報の流出に関するお詫びとお知らせ (栄光ゼミナール, 2016.04.29)。「2007 年 5 月 7 日〜2007 年 7 月 16 日に栄光ゼミナールの Web サイトから学校別説明会にお申込みをいただいた方の個人情報」 「生徒様 1340 名分、保護者様 1421 名分」
OpenSSL 1.0.2h、1.0.1t 公開。5 件のセキュリティ欠陥 CVE-2016-2107 CVE-2016-2105 CVE-2016-2106 CVE-2016-2109 CVE-2016-2176 を修正。 また、OpenSSL 1.0.2c、1.0.1o で修正されていた 1 件のセキュリティ欠陥 CVE-2016-2108 が公開された。
そういえば、出てました。ESR 38.8 では NSS 3.19.2.4 に移行したため、 MFSA 2016-07 MFSA 2016-15 MFSA 2016-36 の修正が含まれています。
リリースノート: Firefox 46.0、 ESR 38.8.0、 ESR 45.1.0、 Android 版 Firefox 46.0。
セキュリティアドバイザリ: Firefox、 Firefox ESR。
ダウンロード: Firefox、 Android 版 Firefox、 Firefox ESR。
その後 46.0.1 が出ています。セキュリティ修正は含まれていないようです。
リリースノート: Firefox 46.0.1、 Android 版 Firefox 46.0.1
Firefox ESR 38 系列は 38.8 で終了なのですね。ESR 45.1.0、ESR 45.1.1 も出てました。
ImageMagick に欠陥、攻略ファイルを処理すると任意の OS コマンドを実行できる。 CVE-2016-3714
ImageMagick 6.9.3-10 / 7.0.1-1 で修正されている。 また、6.9.4-0 / 7.0.1-2 でさらに修正されているという。 ImageMagick Security Issue (imagemagick.org, 2016.05.03) によると:
We have secured the HTTPS coder in ImageMagick 7.0.1-2 and 6.9.4-0 by sanitizing the HTTPS parameters.
逆に言うと、6.9.3-10 / 7.0.1-1 の HTTPS コーダーには問題があるということか。
ImageMagick 6.9 / 7.0 系では policy.xml を設定することで、この欠陥を利用した攻撃を抑止できる。
ImageMagick Security Issue (imagemagick.org, 2016.05.03)。示されているのは
<policy domain="coder" rights="none" pattern="EPHEMERAL" /> <policy domain="coder" rights="none" pattern="HTTPS" /> <policy domain="coder" rights="none" pattern="MVG" /> <policy domain="coder" rights="none" pattern="MSL" /> <policy domain="coder" rights="none" pattern="TEXT" /> <policy domain="coder" rights="none" pattern="SHOW" /> <policy domain="coder" rights="none" pattern="WIN" /> <policy domain="coder" rights="none" pattern="PLT" />
なお、ImageMagick 6.9.4-0 / 7.0.1-2 では EPHEMERAL コーダーは無効化されている。 また MVG の MagicPattern が削除されている。
さらに ImageMagick 6.9.4-0 / 7.0.1-2 以降では、次のように記述することで、直接的ではない読み込みを抑止できるという。
<policy domain="path" rights="none" pattern="@*" />
あと、https については、delegates.xml に decode="https" な行があったら削除すると抑止できると。FreeBSD ports の ImageMagick だと、こんな行があった (最新の ports では削除されている)。
<delegate decode="https" command=""curl" -s -k -L -o "%o" "https:%M""/>
ImageMagick Filtering Vulnerability - CVE-2016-3714 (Red Hat)。RHEL 6, 7 については、/etc/ImageMagick/policy.xml をこのようにすると回避できるとしている。
<policymap> ... <policy domain="coder" rights="none" pattern="EPHEMERAL" /> <policy domain="coder" rights="none" pattern="HTTPS" /> <policy domain="coder" rights="none" pattern="HTTP" /> <policy domain="coder" rights="none" pattern="URL" /> <policy domain="coder" rights="none" pattern="FTP" /> <policy domain="coder" rights="none" pattern="MVG" /> <policy domain="coder" rights="none" pattern="MSL" /> <policy domain="coder" rights="none" pattern="TEXT" /> <policy domain="coder" rights="none" pattern="LABEL" /> <policy domain="path" rights="none" pattern="@*" /> </policymap>
RHEL 5 については、/usr/lib64/ImageMagick-6.2.8/modules-Q16/coders/ あるいは /usr/lib/ImageMagick-6.2.8/modules-Q16/coders/ にある mvg.so, msl.so, label.so ファイルの名前を変更して無効化する手法が示されている。
関連:
ImageTragick。 これが震源地みたい。
Re: ImageMagick Is On Fire -- CVE-2016-3714 (oss-security ML, 2016.05.03)。PoC あり。
ImageMagickの脆弱性(CVE-2016-3714他)についてまとめてみた (piyolog, 2016.05.04)
ImageMagickの脆弱性(ImageTragick) (てきとうなメモ, 2016.05.08)
RHSA-2016:0726-1 - Important: ImageMagick security update (Red Hat, 2016.05.09)
CVE-2016-3714 (Debian)
CVE-2016-3714 (ubuntu-security)
[重要] ImageMagick の脆弱性 ImageTragick (CVE-2016-3714) への対応について (six apart, 2016.05.06)
ImageMagickの脆弱性に対応したケータイキット for Movable Type Ver.1.66の提供を開始 (アイデアマンズ, 2016.05.10)
ImageMagick 6.9.4-0 / 7.0.1-2 に関する記述を追加・修正。
ImageMagickの脆弱性(ImageTragick) (てきとうなメモ, 2016.05.08)
RHSA-2016:0726-1 - Important: ImageMagick security update (Red Hat, 2016.05.09)
[重要] ImageMagick の脆弱性 ImageTragick (CVE-2016-3714) への対応について (six apart, 2016.05.06)
ImageMagickの脆弱性に対応したケータイキット for Movable Type Ver.1.66の提供を開始 (アイデアマンズ, 2016.05.10)
》 福島原発の“幻のイチエフ建て替え” 実現してれば「あれだけの事故には…」 (週刊朝日, 4/30)。つーか、老朽原発を予定どおり廃炉にしていれば ok だったというだけの話じゃん。建て替え go/no go なんて関係ない。
》 国際基準では「動かしてはいけない」はずが…稼働続ける川内原発 (週刊朝日, 4/26)。第 5 層の話。 ようやく新幹線と九州道はつながるようになりましたが、まだ全力ではないからなあ。
》 原発の検査「抜き打ち」主体に 規制委、20年度から (朝日, 4/25)。はじめるまでに、まだ 4 年もかかる。
》 東電に3100万円賠償命令 原発避難で双葉病院の2患者死亡 (東京, 4/28)。当然の判決かと思ったら、
原告側代理人の新開文雄弁護士は「原発事故で亡くなった苦痛は交通事故よりも大きいと主張したが、判決は交通事故死と同程度の賠償額だった。かなり厳しめの判決だと感じている」と不満を述べた。
もっと取れると思ってたと。
原告側は (中略) 交通事故死で一般的とされる死亡者一人当たりの慰謝料(二千万〜二千二百万円)よりも多い三千万円を請求した。判決は、慰謝料を二千万円と算定した上で、持病などの影響を理由に二〜四割減額した。
正直、この金額で妥当なのかどうか、よくわからんなあ。
》 なぜ津波到達までに緊急炉心冷却装置は起動されなかったのか(上) 『福島第一原発 メルトダウンまでの50年』の著者・烏賀陽弘道氏に聞く (ダイヤモンド ONLINE, 4/7)、 (下) (ダイヤモンド ONLINE, 4/7)
》 三菱「eKワゴン」の実燃費は発売直後からスペックと乖離 500kmテストで判明していた実力 (日経トレンディネット, 4/27)。実測したらすぐわかった話。
》 外国人客は指紋認証で簡単お買い物…日本の計画は“最悪のアイデア”? 海外から懸念の声 (NewSphere, 4/15)
》 毎日新聞、第三者委員の見解公表 ムスリム女性、聴取の機会なく失望 (日本報道検証機構, 4/15)
》 自動運転トラックがやってくる。そして、数百万の職を自動化する (techcrunch, 4/30)
》 ビットコイン発明者、名乗り出る 豪の起業家 (BBC, 5/2)、謎に包まれたビットコイン生みの親「サトシ・ナカモト」の正体がついに判明か、オーストラリア人男性が自身をBitcoin発明者と認める (gigazine, 5/2)。オーストラリアの起業家クレイグ・ライト氏。
》 自分のメールアドレスやID名で検索するとハッキングされて過去の流出リストに入っていたかどうかがわかる「Have I been pwned?」 (gigazine, 4/28)
》 Let’s EncryptとNginx : セキュアなWebデプロイメントの現状 (Postd, 4/20)
》 フィリピン選管がハッキング被害 5500万人超の個人情報が流出 (ZERO/ONE, 5/2)
》 【特集】急増するランサムウェアの理由は作成のハードル低下と高い見返り (McAfee Blog, 4/27)
》 パナマ文書の衝撃(1)モサック・フォンセカの内部システムに脆弱性? (ZERO/ONE, 4/21)、 パナマ文書の衝撃(2)ハッキングの手口を考察する (ZERO/ONE, 4/22)
》 ハッカーに狙われたサイバー武器商人「Hacking Team」(前編)侵入犯が手口公開? (ZERO/ONE, 4/27)、 ハッカーに狙われたサイバー武器商人「Hacking Team」(後編)攻撃者が語る「ハッキングの美学」 (ZERO/ONE, 4/28)
》 「食べログ」アプリの「ブックマーク」デフォルト公開で利用者の意図に反して特定個人識別される危険 (高木浩光@自宅の日記, 4/23)。非公開だったものが、気がつかないうちに勝手に公開されている恐怖。コンテンツが物理空間とリンクしているので、重大なプライバシー漏洩につながる。
》 冤罪File No.25発売 正式決定のお知らせ (冤罪File, 4/22)。予約可能なオンライン書店は、今のところ楽天だけなのかな。
》 第10回名古屋情報セキュリティ勉強会に参加してきた ( #nagoyasec ) (まっちゃだいふくの日記★とれんどふりーく★, 5/1)
》 An update to our SHA-1 deprecation roadmap (windows blog, 4/29)
》 興味深い事がシンギュラリティへ向かう過程で起きている (techcrunch, 4/19)
》 Apple法務顧問がセキュリティに関する噂を否定「Appleは中国政府によるソースコードへの要求に応じなかった」 (techcrunch, 4/21)
FBIは銃撃犯のiPhoneをハッキングしたツールの詳細をAppleに開示しない意向 (techcrunch, 4/27)
アップル・FBI問題が終わらない―〝暗号法案〟でバックドア議論再燃 (新聞紙学的, 4/29)
》 女性がアダルトビデオに出演経験があるかどうかをSNSにアップした写真から「顔認識」で特定 (gigazine, 4/27)
》 国家の秘密を暴いた事実を描いたオリバー・ストーン監督の映画最新作「スノーデン(SNOWDEN)」予告編が公開 (gigazine, 4/28)
》 1994年にジェノサイドが起きたルワンダの現場で、私がヘイトスピーチについて考えたこと-三浦英之さんの連ツイ (togetter, 4/29)、 三浦英之さんのルワンダの集団虐殺に関する連続ツイートに対する反応 (togetter, 4/29)。 関連ツイート抜き出し:
以前のりこえねっとTVで、千の丘自由ラジオの虐殺煽動のヘイトスピーチを聞いたけど、在特会やネトウヨが日頃言ってることとそっくりで、改めてぞっとした。
— デス・バレリーナ (@Dethtooldo) 2016年4月28日
状況が許せば、かつてのようにここ日本でもマイノリティの虐殺は十分に起きうる。https://t.co/9lmbJqYroa
東日本大震災時にも、外国人犯罪デマに惑わされた右翼が、外国人狩りを意図した自警団を行っていた危険すぎる証言がある。https://t.co/UTJD3TKlgg
— やまブし PrayForKumamoto (@neo_yamabusi) 2016年4月28日
《8分20秒から》「右翼もいろいろな活動をしているボランティアとか」
関連:
熊本地震を利用した人種差別扇動ヘイトデマが大量に流され、韓国でも報道された模様 (NAVER まとめ, 4/21)
なぜ「世界」は80万人の死を防ぐことが出来なかったのか? ルワンダ虐殺から22年(前半) (原貫太 / ハフィントンポスト, 4/8)、 (後半) (原貫太 / ハフィントンポスト, 4/10)
100日間で起きた80万人の虐殺-ルワンダ虐殺から「学んだ」、国際社会3つの歩み (原貫太 / ハフィントンポスト, 5/2)
》 國學院学長とウサギ、取り違えビラ 作成した学生に処分検討 (BuzzFeed / Yahoo, 4/28)
ビラの主眼は注目を集めた左側の学長写真の取り違えではなく、右側の「過激派への注意」だった (中略) 学長とマスコットキャラクターの写真を逆にしたのは、「ここで笑ってもらって、注意の部分を読んでもらうため」ぐらいの気持ちだった
こういう勘違いはありがちだよなあ。
BuzzFeed Newsの取材に、大学当局はビラを作成した男子学生を特定し、処分を検討していることを認めた。(中略) 処分が決まるまでの間、自宅待機を命じたという。
これはこれで、大人気ないように見えるなあ。 繰り返しやっているのならともかく、初回であれば注意で十分だと思うが。 むしろチャンスだと捉えて、全学生に対して情報倫理教育を行うとかすればいいのでは。
関連:
5年で5倍以上。年率に換算してみてください。猛烈な変化です。変化を同時代的に経験してるからあまり実感わかないですが、あとから振り返ると断絶がはっきり出るような種類の変化つまり飛躍です。https://t.co/FsrIsyuzqE
— かまやん (@kama_yam) 2016年4月30日
》 「踊らされすぎ」 カンニング竹山さんが見た不謹慎狩り (朝日, 4/30)。竹山さん、さすがです。
芸能人のSNSの対応で一番いいのは、全部シャットアウトすること。絡んでくる人も相手にされないと、絡むのもやめていきますよね。
》 麻薬戦争の最前線にカメラが迫る危険なドキュメンタリー『カルテル・ランド』善悪の境界はどこにある? (紀平照幸 / Yahoo, 5/1)
》 海外出張経費について、ロンドン市から返信あり!文字通り、舛添知事の豪遊とケタ違いだった… (東京都議会議員 おときた駿, 4/29)。本当に桁が違う。
》 焦点:日本敗れ潜水艦「ごうりゅう」幻に、仏勝利の裏側 (ロイター, 4/28)
》 香港の軍事評論家、日本に移住へ 「身の安全」理由に (朝日, 4/29)。平可夫氏「カナダ国籍があっても身の安全は守れないと感じた。香港はもう二制度ではない」。
》 北朝鮮、SLBM を発射、空中爆発か。 まだ開発段階だろうからなあ。
正恩氏に虚偽報告? SLBMも「空中爆発」=韓国消息筋 (聯合ニュース, 5/2)
北朝鮮は発射した翌日に朝鮮労働党機関紙「労働新聞」で、推進装置の分離や弾頭部分の核起爆装置の正常な作動を目的に実験が行われ、大成功したと主張した。
しかし実際は、推進装置の分離も行われず空中で爆発したとされ、結果的に北朝鮮の主張が事実ではないことが分かった。
北が言うほどには成功していない、とは言えるみたい。
韓国軍「北朝鮮が大成功と宣伝したSLBMは空中で爆発」 (朝鮮日報, 5/2)
》 北朝鮮、ムスダンの発射に 3 回連続失敗 (4/15, 4/28 x 2)
4/15 の 1 発:
北朝鮮 新型中距離ミサイル「ムスダン」発射 直後に失敗 (毎日, 4/15)
北“ムスダン”発射失敗で技術者が死亡か (日テレ, 4/21)、 North Korean Missile Exploded, Damaged Launcher in Failed Test (Washington Free Beacon, 4/20)
4/28 の 2 発:
焦る北朝鮮、28日に2度ムスダン発射し全て失敗 (朝鮮日報, 4/29)
北朝鮮 午後も「ムスダン」発射=空中爆発し失敗 (聯合ニュース, 4/28)
今回の 3 発が初の実射だが、3 発とも失敗と。 結局、ムスダンは初期作戦能力に達していなさそう。
相次ぐムスダン発射失敗、「ノー」と言える幹部がいない北朝鮮 (朝鮮日報, 4/30)
SLBMの改造、容易でない=「ムスダン」発射失敗で専門家 (時事, 4/30)。
》 「記者クラブ廃止」「独立機関設立」…国連特別報告者が提言 大手メディアはほぼ無視 (楊井人文 / Yahoo, 4/26)
ところが、4月25日までの在京6紙の報道を調べたところ、記者クラブ廃止の提言については、東京新聞(20日付朝刊3面)と朝日新聞(デジタル版)が少し触れた程度で、毎日、読売、産経は全く触れていなかった(日経は、デビッド氏の来日調査について報じた記事がゼロ)。朝日はデジタル版記事で、デビッド氏が「記者クラブの排他性も指摘し『記者クラブは廃止すべきだ。情報へのアクセスを制限し、メディアの独立を妨害している制度だ』と批判した」と報じていたのに、なぜか紙面版記事では提言の部分がカットされていた。
「メディア横断組織」設立の提言については、どの新聞も言及していなかった。もっとも、新聞業界に対しては日弁連が過去に何度も、報道評議会のような自主規制のための横断組織の設立を提言してきたが(たとえば1999年決議)、それに呼応する動きは全くみられないのが現状だ。
》 三菱自不正、下請け7800社を直撃 地域経済や雇用に影響 (SankeiBiz, 4/29)
》 「ゲン」は1巻が一番怖い(小原篤のアニマゲ丼) (朝日, 5/2)。こうの史代 × おざわゆき「『はだしのゲン』をたのしむ」。
》 ソニーがカメラ内蔵コンタクトレンズの特許申請、まばたきで絞り調整・オートフォーカス・シャッターを操作 (gigazine, 5/2)。Google Glass どころの話じゃない。
》 パスワードを定期的に変更させるシステム仕様には問題がある (gigazine, 5/1)。Password Guidance: Simplifying Your Approach (UK CESG) の件。
》 南阿蘇鉄道、廃線の危機 地震復旧費、見通しなく (時事, 5/2)。関連:
熊本地震に伴う南阿蘇鉄道 復旧義援金、口座のご案内 (南阿蘇鉄道, 4/25)
「南阿蘇鉄道希望の光復興祈念切符」販売 (由利高原鉄道, 5/2)
》 新聞「押し紙」販売店主が告白 朝日30%読売40%日経20%産経26%毎日74%が水増しの店も?! (デイリー新潮 / excite, 5/2)。 全ての店がこのパーセンテージではないのでしょうけれど、朝日だけなんてことは全くないわけで。公取の朝日狙い撃ちは、やっぱりおかしいんだよなあ。
》 なぜ保釈請求をしない? (弁護士吉成安友のブログ, 5/1)。「99.9 刑事専門弁護士」の件。 判決が出るまで待っているのは変、という話。
私が担当した事件の確実に実刑になるケースでさえ、結審後判決までのわずかな期間だけでも保釈を認めて欲しいと色々と事情を説明して保釈請求をしたら、裁判所が認めてくれて、しかも、判決期日を結構先にしてくれた(外にいられる期間を長くしてくれた)ということもありました。 (中略) わずかな期間とはいえ、お母さんが余命1ヶ月を宣告されている状態なのですから、請求さえしないで、もしこれで会えなかったりしたら、それこそ弁護過誤なのでは・・・と思ってしまいました。
Apple、「QuickTime for Windows」のサポートを終了、アンインストールを推奨 (2016.04.15)
Apple、QuickTime for Windowsのサポート終了を正式に告知していたことが判明 (Internet Watch, 2016.04.28)、 QuickTime 7 や QuickTime 7 Pro についてわからないことがある場合 (Apple)
追加情報
Apple では、QuickTime 7 for Windows のサポートを終了いたしました。2009 年以降の新しいバージョンの Windows には、H.264 および AAC など、QuickTime 7 に対応した主要メディアフォーマットのサポートが組み込まれています。現行の Windows Web ブラウザはすべて、ブラウザプラグインがなくてもビデオ再生に対応しています。Windows パソコンで QuickTime 7 が不要になった場合は、こちらの記事の手順にそって、QuickTime 7 for Windows をアンインストールしてください。
Chrome 50.0.2661.94 公開。9 件のセキュリティ修正が含まれる。
PHP 7.0.6、5.6.21、5.5.35 公開。PHP 7.0.6 では少なくとも 2 件、5.6.21 / 5.5.35 では少なくとも 1 件のセキュリティ欠陥が修正されている。
GD: Fixed bug #71912 (libgd: signedness vulnerability). (CVE-2016-3074)
Zip: Fixed bug #71923 (integer overflow in ZipArchive::getFrom*). (CVE-2016-3078) (PHP 7.0.6 のみ)