Last modified: Tue Mar 2 16:25:22 2021 +0900 (JST)
このページの情報を利用される前に、注意書きをお読みください。
》 新型コロナ対策「接触追跡アプリ」が迷走する理由 (新聞紙学的, 5/15)
》 「ネズミが凶暴化している」との注意喚起、原因は新型コロナウイルスの影響によるゴミ減少 (gigazine, 5/27)
》 GoogleがGoogle検索の表示順をページエクスペリエンス重視に変更すると発表、一体何が重視されるのか? (gigazine, 5/29)
》 「ロシア情報局のハッカーグループがサイバー攻撃を仕掛けてきている」とアメリカ国家安全保障局が公式に警告 (gigazine, 5/29)
Twitterがトランプ大統領のツイートに初めて「誤解を招く可能性がある」とラベル付け (gigazine, 5/27)、 Twitter、トランプ大統領のツイートに初めて誤情報の警告ラベル (CNET, 5/27)
Twitterはトランプ大統領のツイートにどういうプロセスでファクトチェックを推奨するラベルを付けたのか? (gigazine, 5/29)
Twitterにラベルを付けられたトランプ大統領、SNS標的の大統領令に署名 (ITmedia, 5/29)
Twitterは政治的発言のファクトチェックを行うべきでないという考えをFacebookのCEOが表明 (gigazine, 5/29)
》 LGが「ウチのスマホは盗撮に最適」という宣伝用ムービーを公開して批判を集める (gigazine, 5/29)。オフィシャルがやっちゃったのかい。
》 「Wikipedia上での誹謗中傷」に断固として立ち向かうためのポリシー改訂をWikipedia運営団体が発表 (gigazine, 5/26)
今、必要なのは、ネットの匿名性を尊重しつつ、違法な行為については、速やかに本人を特定する手段である。もともと出来の悪いプロ責法は今大きく軋んでいる。
願わくば、今回の件が教訓となって、誰もネットでの中傷を苦に死ぬことのない法制度へと、花を咲かすように。
》 おそらく最初で最後の貴重な「静まりかえった世界中の都市」の環境音を録音家が収集&公開中 (gigazine, 5/16)
》 EAGTAC・EAGLETAC D3XL CREE XHP50.2搭載1860ルーメン! (目指せ!ライトマニア HATTAのLEDライトレビュー, 5/25)。 いまどきはこんなのあるのか。
》 CG児童ポルノ事件最高裁決定 (壇弁護士の事務室, 5/27)
平成26年改正では、付帯決議で、わざわざ「児童を性的搾取及び性的虐待から守るという法律の趣旨を踏まえた運用を行うこと 」と決議されているのであるが、山口裁判官はご理解されておられないか、理解して無視したようである。
》 SOCKSを利用してSSHのみで簡易VPNを構築する (Ubuntu Weekly Recipe, 4/29)
ここからいろいろ述べますが,簡単に言うと「SSHのDynamic Port ForwardingをSOCKSプロキシとして利用する」というだけの話です。
dynamic port forwarding は個人的には常用しているのですが、一般には使われていない感じですね。
》 リモート接続でいつものシェルを! ssh越しでポータブルなシェル環境を実現する「xxh」 (Linux Daily Topics, 5/20)
》 Walk-Away Settlement ―GNOME,パテントトロールとの訴訟から解放される (Linux Daily Topics, 5/27)
》 Ubuntu 20.04 LTSでU2F/FIDOデバイスを使ったSSHの2要素認証を試す (Ubuntu Weekly Recipe, 5/27)
》 Windows 10 バージョン 2004 (20H1) 方面
Windows 10 May 2020 Update(ver 2004、build 19041)の一般提供開始 (山市良のえぬなんとかわーるど, 5/28)
Windows10 v2004 May 2020 Updateの不具合情報等の記事一覧 (ニッチなPCゲーマーの環境構築Z, 5/28)
Windows10 v2004に多数の既知の不具合がリストアップ [Update 1] (ニッチなPCゲーマーの環境構築Z, 5/29)
Panasonic、Windows10 v2004 May 2020 Updateの重要事項・制限事項を公開 (ニッチなPCゲーマーの環境構築Z, 5/29)
富士通、Windows10 v2004 May 2020 Updateの動作確認情報を公開 (ニッチなPCゲーマーの環境構築Z, 5/29)
》 YouTubeで中国批判コメントが削除されるのはモデレーター自動化のせいだった (techcrunch, 5/27)
》 SHA3 Hashes (on Windows) - Where Art Thou? (SANS ISC, 5/15)
》 Github Actionsを使ったOWASP Zap Baseline スキャンの説明 (SIOS, 5/23)
》 OpenSSH 8.3登場、ssh-rsa公開鍵署名アルゴリズムは無効化へ (マイナビニュース, 5/29)
今回のリリースで特に注目されるのは、将来のリリースで「ssh-rsa」公開鍵署名アルゴリズムをデフォルトで無効化すると発表された点。
それは OpenSSH 8.2 から言われてます。OpenSSH 8.2 リリースノート (OpenSSH, 2/14)
It is now possible[1] to perform chosen-prefix attacks against the SHA-1 hash algorithm for less than USD$50K. For this reason, we will be disabling the "ssh-rsa" public key signature algorithm that depends on SHA-1 by default in a near-future release.
8.3 で加えられたのは、下線の部分。
A future release of OpenSSH will enable UpdateHostKeys by default to allow the client to automatically migrate to better algorithms. Users may consider enabling this option manually. Vendors of devices that implement the SSH protocol should ensure that they support the new signature algorithms for RSA keys.
上記のように、そのうち自動で better algorithms に更新してくれるようになるようだけど、 とりあえず ssh-rsa をごっそり known_hosts から削除した。
》 次亜塩素酸ナトリウム液・次亜塩素酸水を吸入してはいけない (山形大学理学部物質生命化学科 天羽研究室, 5/10)
いろいろ (2019.06.18) Exim
NSA Releases Advisory on Sandworm Actors Exploiting an Exim Vulnerability (US-CERT, 2020.05.28)
[Mailman-Users] Mailman 2.1.31 security release (mailman-users ML, 2020.05.05)。 Mailman 2.1.x の最新は 2.1.33 のようです。
Mailman 3 って、とっくに出てたんですね。知らんかった。
PostgreSQL 12.3, 11.8, 10.13, 9.6.18, and 9.5.22 Released! (PostgreSQL, 2020.05.14)。「CVE-2020-10733: Windows installer runs executables from uncontrolled directories」が修正されている。
Wireshark 3.2.4, 3.0.11, and 2.6.17 Released (Wireshark, 2020.05.19)
Drupal core - Moderately critical - Cross Site Scripting - SA-CORE-2020-002 (Drupal, 2020.05.20)。jQuery 3.5.0 の話。 Drupal 8.8.6 / 8.7.14 / 7.70 で修正。
Drupal core - Moderately critical - Open Redirect - SA-CORE-2020-003 (Drupal, 2020.05.20)。Drupal 7.70 で修正。
JVN#78745667 - 複数のサイボウズ製品における脆弱性に対するアップデート (JVN, 2020.05.29)
Moodle 3.8.3 and other minors have been released! (moodle, 2020.05.11)
MSA-20-0006: Remote code execution possible via SCORM packages (moodle, 2020.05.18)
MSA-20-0005: MathJax URL upgraded to later version to remove XSS risk (upstream) (moodle, 2020.05.18)
ついさっき気づいた。APSB20-25 は Character Animator。
Security Updates Available for Adobe Character Animator | APSB20-25 (Adobe, 2020.05.19)。Priority: 3。任意のコードの実行を招く欠陥。 セキュリティ欠陥があるのは Windows 版のみだが、macOS 版も更新されている。
Security Updates Available for Adobe Premiere Pro | APSB20-27 (Adobe, 2020.05.19)。Priority: 3。情報漏洩を招く欠陥。 セキュリティ欠陥があるのは Windows 版のみだが、macOS 版も更新されている。
Security Updates Available for Adobe Audition | APSB20-28 (Adobe, 2020.05.19)。Priority: 3。情報漏洩を招く欠陥。 セキュリティ欠陥があるのは Windows 版のみだが、macOS 版も更新されている。
Security Updates Available for Adobe Premiere Rush | APSB20-29 (Adobe, 2020.05.19)。Priority: 3。情報漏洩を招く欠陥。 セキュリティ欠陥があるのは Windows 版のみだが、macOS 版も更新されている。
出てます。
WatchOS
About the security content of watchOS 6.2.5 (Apple, 2020.05.18)
About the security content of watchOS 5.3.7 (Apple, 2020.05.18)
tvOS
About the security content of tvOS 13.4.5 (Apple, 2020.05.26)
iOS / ipadOS
About the security content of iOS 13.5 and iPadOS 13.5 (Apple, 2020.05.20)
About the security content of iOS 12.4.7 (Apple, 2020.05.26)
macOS, Safari
Xcode
About the security content of Xcode 11.5 (Apple, 2020.05.20)。Git の修正。
iTunes for Windows
About the security content of iTunes 12.10.7 for Windows (Apple, 2020.05.20)
iCloud for Windows
About the security content of iCloud for Windows 7.19 (Apple, 2020.05.26)
About the security content of iCloud for Windows 11.2 (Apple, 2020.05.26)
Windows Migration Assistant
About the security content of Windows Migration Assistant 2.2.0.0 (Apple, 2020.05.26)
》 露ハッカー集団、マルウェアでウイルス対策のログも収集 (ZDNet, 5/28)、 Gmailを使って機密文書を盗み出すマルウェア「ComRAT v4」 (gigazine, 5/27)
》 ハッカーがハリウッド系法律事務所からデータを盗取、身代金は約45億円 トランプ大統領にも揺さぶり (ITmedia, 5/28)
》 NTTコムに不正アクセス 法人の工事情報が漏えいした疑い (ITmedia, 5/28)、 NTT Comで「水平移動」型の不正アクセス、621社の情報流出の恐れ (ZDNet, 5/28)
》 Windows 10大型更新「May 2020 Update」が提供開始 (PC Watch, 5/28)。 Windows 10 バージョン 2004 (20H1) 正式リリースされたそうです。関連:
「Windows 10 May 2020 Update」でブルースクリーン発生やBluetooth、IMEの不具合 (PC Watch, 5/28)。まあ、不具合はありますよね。
「Windows 10 May 2020 Update」への更新には注意! ~Microsoftが10件の問題を調査中 (窓の杜, 5/28)
Windows 10 May 2020 Update(ver 2004、build 19041)の一般提供開始 (山市良のえぬなんとかわーるど, 5/28)
KB4549951 (Windows 10 バージョン 1903 / 1909 用) 適用でブルー画面等の件、 HP の個人向け PC が該当する模様。
KB4549951適用後、個人設定やドキュメントフォルダなどが消えたりBSoDの不具合。ただし発生は極少数 (ニッチなPCゲーマーの環境構築Z, 2020.04.24)
Windowsの更新でHP製デスクトップにブルースクリーンが発生。暫定的な対処法を公開 (PC Watch, 2020.05.22)
》 Microsoft Azureのインドリージョンで障害による長時間停止が発生 (クラウド Watch, 5/21)
》 「種苗法改正案」今国会成立を断念へ 柴咲コウさんの懸念ツイートで慎重論拡大 (毎日, 5/20)。おめでとうございます。こちらも廃案なわけではないので注意。
中間解析で有効性示せず、との報道
アビガン有効性示せず、新型コロナ治療の臨床研究で-報道 (ブルームバーグ, 5/20)。元ねたは共同。
治療薬アビガン、臨床研究で有効性示せず (毎日, 5/20)。これも共同。
治療薬アビガン、有効性示せず 月内承認への「前のめり」指摘 (沖縄タイムス, 5/20)。これも共同。
結局、全部共同じゃん。
藤田医科大学、中間解析は有効性の有無を判定するためのものではない、とコメント。
ファビピラビル(アビガン)臨床研究に関する報道について (藤田医科大学, 5/20)
「有効性判定が目的ではない」 アビガン臨床研究で藤田医大 (沖縄タイムス, 5/20)
コメントは藤田医大病院の湯沢由紀夫病院長と、研究責任者の土井洋平教授の連名で出された。中間解析は「臨床研究の安全性を担保し、研究を続行する科学的妥当性を評価するために行われる」と説明した。(共同通信)
中間解析は臨床研究の継続/中止を判定するためのもので、有効性の有無を判定するものではないということみたい。
5月中のアビガン承認は困難か、藤田医大は臨床試験を継続 (訂正) (ブルームバーグ, 5/20)。藤田医科大学の土井洋平教授。
安倍晋三首相が5月中のアビガンの薬事承認を目指すと発言したことについて、土井氏は英語で行われたインタビューで、詳細はわからないとした上で、すでに19日であるために月内の実現は難しいのではないかと話した。臨床試験の結果が得られるのは7月になりそうだとしてる。
まだしばらくかかる模様。
アビガン「有効性判断には時期尚早 臨床研究継続」新型コロナ (NHK, 5/20)
アビガン「安全性問題なし」 藤田医大、臨床研究を継続 (朝日, 5/20)
会見した研究責任医師の土井洋平教授によると、半数の患者の結果に基づく中間解析では、中止の要件となる安全性の問題、極めて高い有効性のいずれにも当たらないと判断された。
藤田医大「有効性の判定は主目的でない」、アビガン中間解析 (m3.com, 5/20)
アビガンを妄信する人が知らない不都合な真実 確実な有効性は示されておらず副作用リスクも (東洋経済, 5/20)。現時点では、効果は不明かつ催奇形性があるヤバい薬ですからね。
Apache Tomcat に欠陥。次の条件を全て満たすと、remote から任意のコードを実行することが可能となる。
- an attacker is able to control the contents and name of a file on the server
- the server is configured to use the PersistenceManager with a FileStore
- the PersistenceManager is configured with sessionAttributeValueClassNameFilter="null" (the default unless a SecurityManager is used) or a sufficiently lax filter to allow the attacker provided object to be deserialized
- the attacker knows the relative file path from the storage location used by FileStore to the file the attacker has control over
逆に言うと、どれか 1 つでも満たさないようにすれば回避できる。 詳細は [SECURITY] CVE-2020-9484 Apache Tomcat Remote Code Execution via session persistence (apache.org, 2020.05.20) を参照。
Apache Tomcat 10.0.0-M5 / 9.0.35 / 8.5.55 / 7.0.104 で修正されている。
iida さん情報ありがとうございます。
JPCERT/CC 注意喚起が改訂された。
Apache Software Foundationは、2021年3月1日(米国時間)に、Apache Tomcatの脆弱性(CVE-2021-25329)に関する情報を公開しました。一般的に利用されないまれな構成において、CVE-2020-9484の修正が不十分であったため、CVE-2021-25329として新規採番し、修正が行われました。
CVE-2021-25329。 Tomcat 10.0.2 / 9.0.43 / 8.5.63 / 7.0.108 で修正されている。
》 「みんなで裸を見たと言われた」「尊厳失われた」入管収容女性が手紙で訴え (毎日, 5/18)。入管はあいかわらずめちゃくちゃ。こっちも全員退場しろ。
》 黒川弘務東京高検検事長 ステイホーム週間中に記者宅で“3密”「接待賭けマージャン」 (文春オンライン, 5/20)。賭けマージャン。これはアウト。1発退場。
産経関係者の証言によれば、黒川氏は昔から、複数のメディアの記者と賭けマージャンに興じており、最近も続けていたという。その際には各社がハイヤーを用意するのが通例だった。
うへえ。マスメディア各社の記者達も長年違法行為を続けていたというわけか。まさにマスゴミ。全員退場であろ。
関連: 黒川氏、緊急事態下に賭けマージャン 公明幹部「事実なら辞任を」―週刊文春報道へ (時事, 5/20)
》 政府・与党、検察庁法改正案の今国会での成立を断念。おめでとうございます。しかし廃案になったわけではない。 ぜんぜん終ってない。
検察庁法、今国会での改正断念 世論の反発強く 首相近く最終判断 (毎日, 5/18)
“ツイッター世論”政権直撃 「怒りの声」異例の急拡大 検察庁法改正案見送り (毎日, 5/18)
官邸急転換に「腹だって立つ」 与党国対、不満あらわ 検察庁法改正案 (毎日, 5/18)
政権また世論読み違え「保守層まで…」 検察庁法改正案 (朝日, 5/19)。むしろ、本当の保守なら怒って当然。 アレに賛成するのは「保守派」ではなく「アベ派」。
矛盾そして迷走…検察庁法で追い込まれた政権の3カ月半 (朝日, 5/19)
検察庁法改正案は「必要」 政府、次期国会で成立めざす (朝日, 5/18)、 検察庁法改正、現行案のまま成立めざす姿勢 森法相 (朝日, 5/19)。なおもヤル気まんまん。
ぶら下がりで首相が言わなかった言葉は・・・ (朝日, 5/19)
三つの質問に応じたぶら下がりの間、国会審議で問題になった「検察庁法改正案」はおろか、「検察」という言葉すら一度も口にしなかった。
首相の答弁手法を分析している法政大の上西充子教授は「明らかに意図的に話題をそらしている。検察庁法に注目が集まらないようにするための『ご飯論法』だ」と指摘する。
黒川氏は検事総長に就くのか 検察庁法先送り、なお批判 (朝日, 5/19)
ツイッター世論、うねりを生んだ「被害者意識の共有」 (朝日, 5/20)
ツイッターデモ「声が届いた成功体験に」 浜野謙太さん (朝日, 5/20)
》 OpenBSD 6.7 が出たそうです。
新たに発見された DNS プロトコルの欠陥を利用した攻撃 NXNSAttack の解説。 全てのキャッシュ DNS サーバーに影響。 ランダムサブドメイン攻撃の変種だそうで。
This glueless delegation is the basic principle of the NXNSAttack: Attacker simply sends back delegation with fake (random) server names pointing to victim DNS domain, thus forcing the resolver to generate queries towards victim DNS servers (in a futile attempt to resolve fake authoritative server names).
主要 DNS サーバーソフトウェアの対応版が公開されている。
Two vulnerabilities disclosed in BIND (CVE-2020-8616 and CVE-2020-8617) (oss-sec ML, 2020.05.19)。CVE-2020-8616 が本件。BIND 9.11.19 / 9.14.12 / 9.16.3 で対応。
Unbound - CVE-2020-12662, CVE-2020-12663 (oss-sec ML, 2020.05.19)。CVE-2020-12662 が本件。unbound 1.10.1 で対応。
PowerDNS Recursor 4.3.1, 4.2.2. and 4.1.16 released fixing multiple vulnerabilities (oss-sec ML, 2020.05.19)。CVE-2020-10995 が本件。
[CVE-2020-12667] Knot Resolver 5.1.1 NXNSAttack mitigation (oss-sec ML, 2020.05.19)
加えて、Google、 Microsoft、 Cloudflare、 Amazon、 Oracle (DYN)、 Verisign、 Quad9、 ICANN でも修正されたとされているのだけど、どういう対応がされたのかは未発表。
関連:
ADV200009 | Windows DNS Server Denial of Service Vulnerability (Microsoft, 2020.05.19)。Windows Server 2016 以降なら Response Rate Limit (RRL) を使うことで緩和可能。Server 2012 R2 以前には緩和策はない。
名前解決の仕組みを使ってDNSを攻撃、「NXNSAttack」とは (森下 泰宏 / Internet Watch, 2020.06.05)
》 セキュリティ診断レポート 2020 春 〜標的型攻撃への次の一手「ペネトレーションテスト」の最新情報 (LAC, 5/18)、 攻撃耐性の確認でペネトレーションテストは有効--ラックが報告 (ZDNet, 5/19)
》 メルセデス・ベンツの車載システム用ソースコードが流出 (ZDNet, 5/19)
》 Avast CTOに聞く、Jumpshot問題の真相とPCセキュリティの未来 (笠原 一輝 / PC Watch, 5/19)
》 G Suiteのチャット機能、ドメイン外部とも会話可能に (PC Watch, 5/19)
》 ちょっとやりすぎっ! 2千円台の本格ネットカメラ「ATOM Cam」が製品版で超進化!!! (Internet Watch, 5/19)。この内容で 2500 円 + 送料かあ。すごい時代になったもんだ。
「LibreOffice 6.4.3」「LibreOffice 6.3.6」で1件のセキュリティ改善 (窓の杜, 2020.05.19)
2020 年 5 月のセキュリティ更新プログラム (月例) (2020.05.14)
関連:
四半世紀にわたり気付かれなかったWindows印刷スプーラーの脆弱性が2020年5月パッチで修正 (窓の杜, 2020.05.19)
Microsoft fixes vulnerability affecting all Windows versions since 1996 (ESET, 2020.05.15)
》 マウスコンピューター、不正アクセス被害でフィッシングメール1220件送信 偽サイトでメール情報盗まれ (ITmedia, 5/15)
》 米商務省、Huaweiへの禁輸措置を強化 米国製装置で作った非米国製品も禁止 (ITmedia, 5/16)。Huawei いじめ継続ですか。困るなあ。
》 就活生がWeb面接で“ギガ不足”に? 約3割が通信量に「上限あり」の回線を使用 PC使わない人も (ITmedia, 5/15)。ここでも帯域が足りませんか。
》 オンライン授業に接続NG? 「インターネット完備」物件に住む学生の嘆きが話題に (ITmedia, 5/15)。ショボいインターネットを完備。
》 「マスクチーム」,存在せず #検察庁法改正の強行採決に反対します (WADA/開示請求 / note, 5/15)。マスクチームについて開示請求したら、そんなものはないと言われた件。なんじゃそりゃー
関連:
アベノマスク「耳が痛くて使えない」呆れた実態 輸入会社社長と厚労省マスクチームの言い訳 (岩澤 倫彦 / 東洋経済, 5/12)。彼は誰に取材したのだろう。
マスク確保が使命 政府内に「マスクチーム」を立ち上げ (朝日, 3/10)
医療機関向けマスクの医療機関等への配布について (厚生労働省医政局経済課(マスク等物資対策班), 3/13)。
厚生労働省合同マスクチームからのマスクの送付について (山口県, 5/8)。「厚生労働省合同マスクチームが」。
ツイート
「マスクチーム」,存在せず #検察庁法改正の強行採決に反対します|WADA/開示請求 @WadaJP #note https://t.co/qIj0lCYpSe
— WADA (@WadaJP) May 14, 2020
そうなのですが,次の国会答弁があるのです。
— WADA (@WadaJP) May 15, 2020
国務大臣(菅義偉君)
実は、厚生労働省と経済産業省と総務省から成るマスクチームというのを立ち上げておりまして、今三十人程度で、それぞれ電話をし、一つ一つ今埋めていっているところでありますので、しっかり対応させていただきたいと思います。 https://t.co/mEwLx9xH3d
布マスクの介護施設等向け、妊婦向け、全戸配布に係る企業名、契約内容等について大分わかってきました。 pic.twitter.com/jVPp1zAHTK
— 福島みずほ (@mizuhofukushima) May 13, 2020
「厚生労働省マスク班」と明記されている。
》 三菱電機ハッキング事件方面。 当初から朝日が圧倒的に詳しい。
まずはこちらを。
中国ハッカーに握られた社内PC 特命チーム暗闘の全貌 (編集委員・須藤龍也 / 朝日, 5/8)
これまで。
【独自】三菱電機にサイバー攻撃 防衛などの情報流出か (内藤尚志 編集委員・須藤龍也 / 朝日, 1/20)
【独自】狙いは中間管理職の端末 三菱電機を周到に攻撃 (内藤尚志 編集委員・須藤龍也 / 朝日, 1/20)
三菱電機、個人情報8122人分流出か 就活生や従業員 (内藤尚志、伊藤嘉孝 / 朝日, 1/20)
不正アクセスによる個人情報と企業機密の流出可能性について (三菱電機, 1/20)
三菱電機、サイバー攻撃を認める 「被害や影響なし」 (朝日, 1/20)。記名なし。
三菱電機、半年口閉ざす サイバー被害、対応後手 (朝日, 1/21)。記名なし。
【独自】三菱電機、複数の中国系ハッカー集団から攻撃か (編集委員・須藤龍也、内藤尚志 / 朝日, 1/22)
【独自】サイバー攻撃4集団 標的の分野・時期は様々 (編集委員・須藤龍也 / 朝日, 1/22)
標的の分野・時期は多様 三菱電機、4集団がサイバー攻撃 (編集委員・須藤龍也、伊藤弘毅 / 朝日, 1/22)
(社説)サイバー攻撃 情報共有で対策を急げ (朝日, 1/26)
(記者解説)サイバー被害、中国の影 編集委員・須藤龍也 (編集委員・須藤龍也 / 朝日, 1/27)
三菱電機へ高度なサイバー攻撃、中国政府の動きと呼応? (編集委員・須藤龍也 / 朝日, 1/28)
サイバー攻撃「業績影響ない」 被害後、幹部が初説明 三菱電機 (内藤尚志 / 朝日, 2/4)。「三菱電機の幹部がサイバー攻撃について公の場で説明するのは初めて」
不正アクセスによる個人情報と企業機密の流出可能性について(第 2 報) (三菱電機, 2/10)
三菱電機㈱による機微な情報の漏えいの可能性について (防衛省, 2/10)
防衛装備庁の情報流出か 三菱電機へのサイバー攻撃で (伊藤嘉孝、高橋諒子 / 朝日, 2/10)
「機微な情報」流出の恐れ 三菱電機が追加報告 防衛省公表 (伊藤嘉孝、高橋諒子 / 朝日, 2/11)
不正アクセスによる個人情報と企業機密の流出可能性について(第 3 報) (三菱電機, 2/12)。詳報。現時点ではこれが最新。
三菱電機、端末132台が感染か 被害は昨年3月から (内藤尚志 / 朝日, 2/12)
三菱電機、132台感染疑い 昨年3月、中国で初被害 サイバー攻撃 (内藤尚志 / 朝日, 2/13)
三菱電機へのサイバー攻撃、VPN装置にハッキングか (編集委員・須藤龍也、内藤尚志 / 朝日, 5/2)
狙われたVPN、三菱電機ハッキングの背後にちらつく影 (編集委員・須藤龍也 / 朝日, 5/2)
狙われた、社内への「接続口」 三菱電機へのサイバー攻撃、VPN経由か (朝日, 5/8)。記名なし。
》 How a Facebook Bug Took Down Your Favorite iOS Apps (WIRED, 5/7)
2020 年 5 月のセキュリティ更新プログラム (月例) (2020.05.14)
関連:
【Windows10】 WindowsUpdate 2020年5月度 不具合情報 - セキュリティ更新プログラム [Update 1] (ニッチなPCゲーマーの環境構築Z, 2020.05.14)
》 新型コロナ、ネコ間で感染 東大が確認 (ITmedia, 5/14)
》 神奈川県、新型コロナ患者療養施設に分身ロボ「OriHime」導入 遠隔で入所者をケア (ITmedia, 5/14)
》 NECが非接触型のマルチモーダル生体認証端末を開発、顔・虹彩認証の統合で高い信頼性を実現 (クラウド Watch, 5/14)
》 日本マイクロソフト、Surface Go 2を学校での文房具のような存在とアピール (PC Watch, 5/13)。m3 版の安いやつがあればよかったんだけどねえ。
》 DNS over HTTPSを初期サポート ~プレビュー版「Windows 10」Build 19628がFastリングに (窓の杜, 5/14)
》 AnkerがAmazon上の第三者によるカスタマーレビューの不当な操作を報告、依頼を受けたら連絡を (スラド, 5/14)
出ました。Windows Defender が含まれてますね。
Microsoft Windows
Microsoft Edge (EdgeHTML-based)
Microsoft Edge (Chromium -based)
ChakraCore
Internet Explorer
Microsoft Office、Microsoft Office Servers および Web Apps
Windows Defender
Visual Studio
Microsoft Dynamics
.NET Framework
.NET Core
Power BI
関連:
Microsoft、2020年5月の更新を発表 ~OSの最大深刻度は“緊急” (窓の杜, 2020.05.13)
Microsoft Office、Microsoft Office ServersおよびWeb Apps、SharePoint
最大深刻度は“重要”(リモートでコードが実行される)。詳細は以下のドキュメントを参照のこと。2020年4月の更新プログラムを適用した「Excel」で日本語を含む外部参照があるVBA・アドオンが読み込み不能になる問題の修正も含まれている。
本日 5/13 JST の Windows Update(2020-05 B) (山市良のえぬなんとかわーるど, 2020.05.13)
Microsoft Windows Security Updates May 2020 overview (ghacks.net, 2020.05.12)
関連:
【Windows10】 WindowsUpdate 2020年5月度 不具合情報 - セキュリティ更新プログラム [Update 1] (ニッチなPCゲーマーの環境構築Z, 2020.05.14)
関連:
四半世紀にわたり気付かれなかったWindows印刷スプーラーの脆弱性が2020年5月パッチで修正 (窓の杜, 2020.05.19)
Microsoft fixes vulnerability affecting all Windows versions since 1996 (ESET, 2020.05.15)
》 インターネット定点観測レポート(2020年 1~3月) (JPCERT/CC, 5/12)
》 おすすめのセキュリティカンファレンス (JPCERT/CC, 5/11)
》 SysmonSearch v2.0 リリース (JPCERT/CC, 4/30)
》 LogonTracer v1.4 リリース (JPCERT/CC, 4/23)
》 Using Nmap As a Lightweight Vulnerability Scanner (SANS ISC, 5/8)
However, a second project was kicked off and integrated into Nmap: The vulners[3] script. The principle is the same: You scan the host (with '-sV') and, for each identified service, the script performs a lookup in the CVE database.
》 Sysmon v11.0 (Sysinternals, 4/28)
Sysinternals Update April 2020 (Mark Russinovich / YouTube, 4/28)
Sysmon 11 — DNS improvements and FileDelete events (medium.com, 4/29)。DNS 逆引きの無効化、ファイル削除イベントに対応。
Microsoft releases Sysmon 11 with auto-backup of deleted files (bleeping computer, 4/29)
Sysmon and File Deletion (SANS ISC, 5/4)
Update: A reader experienced problems with removable storage & Sysmon's file deletion preservation (archive folder is created on removable storage too, and kept open -> can not be ejected safely). Mark will address this issue with next update.
》 Slackに接続できない障害 「仕事ができない」声続出 (ITmedia, 5/13)。 https://status.slack.com/2020-05/147dad376c8946ff によると 11:26 時点で復旧している模様です。
We have fully restored service and everyone should be able to connect to Slack now. If you have any further trouble, please let us know at [email protected].
We're very sorry for the disruption. We appreciate your patience as we worked to get everyone back online.
May 13, 11:26 AM GMT+9
》 レノボ製タブレット製品の一部で発火。対策用アップデートを提供開始 (PC Watch, 5/12)、 レノボ製タブレット Yoga Tablet2, Yoga Tab3 一部モデル向け 充電最適化アップデート (lenovo, 5/12)
出ました。APSB20-25 が抜けてますね。
Security Update available for Adobe Acrobat and Reader | APSB20-24 (Adobe, 2020.05.12)。Priority: 2。更新版:
種別 | 更新版 |
---|---|
Acrobat DC / Acrobat Reader DC (Continuous Track) | 2020.009.20063 |
Acrobat 2017 / Acrobat Reader 2017 (Classic 2017) | 2017.011.30171 |
Acrobat 2015 / Acrobat Reader 2015 (Classic 2015) | 2015.006.30523 |
関連: Adobe Acrobat および Reader の脆弱性 (APSB20-24) に関する注意喚起 (JPCERT/CC, 2020.05.13)
Security update available for Adobe DNG Software Development Kit (SDK) | APSB20-26 (Adobe, 2020.05.12)。Priority: 3
SaltStack Salt の複数の脆弱性 (CVE-2020-11651, CVE-2020-11652) に関する注意喚起 (2020.05.08)
関連:
Adobe 方面 (ColdFusion, After Effects, Digital Editions) (2020.04.14)
APSB20-22 も 4/28 付で出てました。orz
Security Updates Available for Magento | APSB20-22 (Adobe, 2020.04.28)。Priority: 2
PHPの脆弱性情報(CVE-2020-7067)と新バージョン(7.2.30, 7.3.17, 7.4.5) (SIOS, 2020.05.03)
ClamAV 0.102.3 security patch released (ClamAV, 2020.05.12)。2 件のセキュリティ修正が含まれる。
》 個人情報を“*”で隠蔽 ~ビデオ会議サービス「Zoom」のアプリがv5.0.2に (窓の杜, 5/12)
》 海の向こうの“セキュリティ” ランサムウェア攻撃に見られる「共通の傾向」とは? (Internet Watch, 5/8)
Thunderbolt ポートを有する、ほぼ全ての PC に欠陥。物理アクセス可能な攻撃者が、痕跡を残すことなくデータを取り放題となるという。 ディスクを暗号化していても関係ない。 ソフトウェアでの修正は不可能。実装ではなく仕様に問題がある模様。 Kernel DMA Protection に対応した 2019 年以降の一部機種については、影響が限定される。
詳細はこちら: Thunderspy - When Lightning Strikes Thrice: Breaking Thunderbolt 3 Security - (thunderspy.io)
影響の有無を診断するというソフトウェア Spycheck が公開されている (Windows 版と Linux 版)。
関連:
Thunderbolt Flaws Expose Millions of PCs to Hands-On Hacking (WIRED, 2020.05.10)
Return of the Evil Maid
確かになあ……。
Millions of Thunderbolt-Equipped Devices Open to ‘ThunderSpy’ Attack (threatpost, 2020.05.11)
》 キャンパス内施設の一部使用許可について (京都橘大学, 5/8)
5月12日以降、自宅にPC等利用環境が整備されていない場合は、履修登録およびオンライン授業受講を目的とした情報メディアセンターでのPC利用を認めます。次の注意事項を理解したうえで、指定のURLまたはQRコードから許可申請を行ってください。
ちゃんと申請制にした方が素直だよなあ。
》 東京都教育委員会と、都立学校における学習支援サービスの活用に向けた協定を締結 (日本マイクロソフト, 5/8)。 「都立高等学校・特別支援学校などの都立学校全 247 校のすべての生徒 (約 16 万人) と教員 (約 2 万人) が利用する、学習支援サービスを 2020 年 5 月より提供」。
》 大切なお知らせ NarSuSテスト用サーバへの不正アクセスによる個人情報流出について (IO DATA, 5/10 更新)。匿名希望さん情報ありがとうございます。 NarSuS ですか。
このたび、弊社NarSuSサービスの弊社テスト用サーバが、第三者による不正アクセスを受けたことを2020年5月7日に確認いたしました。
このサーバ内には、製品型番、MACアドレス、製品シリアルナンバー及びメールアドレスなどの個人情報が含まれており、不正アクセスによる影響範囲を調査するため、NarSuSサービス(www.narsus.jp)の公開サーバを一旦停止させていただきます。
テスト用を外部に公開してハクられたという理解でいいのかな……。
》 Microsoft、「Office 365」の「全員に返信」ストーム対策機能を公開 (ITmedia, 5/11)。Exchange Online の新機能、Reply All Storm Protection。
Reply All Storm Protectionは、過去60分以内に10件を超える「全員に返信」を生成した5000人以上の受信者のいるすべてのメールスレッドをブロックする。
》 「Surface Laptop 3」のディスプレイに亀裂が入る問題、Microsoftが無償修理 (ITmedia, 5/11)。「保証期間中であれば無償で修理する」。
》 10万円給付金オンライン申請、ノウハウが溜ってきたようで
「10万円給付金」オンライン申請する方法。パスワードの罠に注意 (engadget, 5/8)
続いて、給付対象者の名前を1人ずつ入力します。せっかくマイナンバーを使うのだから、住基情報から取り込んでくれても......と思うのですが、対応していないものは仕方がありません。
間抜けだ。
10万円給付のオンライン申請に落とし穴--「署名用電子証明書の失効」に要注意 (CNET, 5/8)。engadget とは異なるポイントに注意を促している。
引越しの際に、役所でマイナンバーカードの住所変更手続きをしたという人も多いだろう。たしかに、それによってマイナンバーカードの表面に記載されている住所内容は上書きされるのだが、実はそれだけでは署名用電子証明書は更新されておらず、別途手続きが必要になる。つまり、住所変更だけでは足りないのだ。
間抜けだ。 そんなの自動でやるべきだろ。
また、署名用電子証明書は本庁でしか発行できない。そのため、小さな市政窓口などでは「本庁で発行してください」と案内するに留めており、「e-Taxは使わないし、わざわざ本庁に行くのは面倒くさい」と考える人もいるだろう。その結果、本庁まで行って手続きをしない人がいることも、失効が多発している要因になっているのではないかとのことだった。
うへえ。間抜けすぎる。
》 セキュリティカンファレンス「Black Hat」と「DEF CON」、オンラインで開催へ (ZDNet, 5/11)
》 「東京ゲームショウ2020」幕張メッセ開催を中止 オンライン開催を検討 (ITmedia, 5/8)。9/24〜27 予定のイベントが中止に。
2020 年 4 月のセキュリティ更新プログラム (月例) (2020.04.21)
関連:
2020年4月の「Excel」更新に問題、日本語を含む外部参照があるVBA・アドオンが読み込み不能に Microsoftが修正パッチをリリース (窓の杜, 2020.05.11)。「5月8日(日本時間)にリリースされた修正プログラムで対策済み」。
Firefox 75 / ESR 68.8.0 公開 (2020.05.07)
関連:
リリースされたばかりの「Firefox 76」に問題 ~Mozillaが修正版をリリース (窓の杜, 2020.05.11)。不具合は Firefox 76 のみの模様。
Firefox 76.0.1 がリリースされた (mozillaZine, 2020.05.09)
》 SEP 14.3 がリリースされたようです。 AMSI 対応、Windows 10 20H1 対応など。
Released versions of Symantec Endpoint Protection (Broadcom, 5/5)
What's new for all releases of Symantec Endpoint Protection 14.x (Broadcom, 5/5)
Windows compatibility with the Endpoint Protection client (Broadcom, 5/5)。Windows 10 20H1 対応は SEP 14.3 のみなので注意。
Symantec Endpoint Protection 14.3 Installation and Administration Guide (Broadcom)
》 アベノマスクの行方。 もはや「届かない」の代名詞となった感すらあるのだが。
布製マスクの都道府県別全戸配布状況 (厚生労働省)。東京都を除いては「準備中」。そりゃあ届かんわ。 WHWHWH さん情報ありがとうございます。
アベノマスク届いていますか?東京都以外の46道府県で「準備中」と発覚。厚生労働省が公表【新型コロナ】 (ハフポスト, 5/8)
関連
アベノマスク「第4の受注業者」にユースビオが入った本当の理由 (M&A Online, 4/29)。「ユースビオは「ブローカー」だった」。
そもそもブローカーが取り扱うのは主に中小企業相手の突発的な小口取引で、大企業や自治体、ましてや政府が顧客になるのは異例中の異例。政府が取引を極力隠そうとしていたのも、ブローカーからの調達という「非正規ルート」に頼らざるを得ない苦境を明らかにしたくなかったからだろう。
さらにはユースビオの経営者が2018年に脱税容疑で有罪判決を受けていたという「過去」もあった。つまり政府は「マズいから隠した」のではなく、安倍首相が目玉と位置づける施策のドタバタが「みっともないから隠した」可能性が高そうだ。
》 「課題が出せない」「試験が受けられない」――学校向けSaaS「Classi」がつながりにくい状態に 生徒から不満の声相次ぐ (ITmedia, 5/7)。manaba もそうですが、この手のはあちこちで死屍累々なんですかね。
Salt は Puppet や Chef のような構成管理ツールなのだそうですが、
Salt には、脆弱性 (CVE-2020-11651,CVE-2020-11652) があります。脆弱性が悪用された場合、リモートからの攻撃によって、認証不要でマスターサーバ上のユーザトークンが窃取されたり、管理対象サーバ上で任意のコマンドを実行されたりするなどの可能性があります。なお、JPCERT/CC では、脆弱性 (CVE-2020-11651, CVE-2020-11652) を実証したとするコードや、悪用したとされる情報を確認しています。
悪の限りを尽くせるようです。
Salt 2019.2.4 / 3000.2 で修正されているそうです。 また、それより古いバージョンについては patch が用意されているそうで。 New SaltStack Release - Critical Vulnerability を参照。
関連:
》 Zoom、全会議でパスワード必須化などセキュリティ強化 (PC Watch, 5/7)。Personal Meeting ID (PMI) を無効化できるようになった (デフォルトでは有効みたい)。
5月9日に一般ユーザー向けのアップデートが提供予定で、すべての会議でパスワードが要求されることになる。新しい会議だけでなく、以前に設定された会議、そしてPMIが使われている会議が対象。さらに、待機室が標準で有効化、画面共有の特権が標準でホストのみのものとなる。
かなりデフォルトセキュアになる感じ、でしょうか。
ゲーム条例のパブコメ「原本」が開示 多数を占めた賛成意見「全く同じ文章」が何パターンも 香川 (KSB 瀬戸内海放送, 4/13)
賛成パブコメ、同じPCから多数投稿か 香川ゲーム条例 (朝日, 4/14)
香川県「ゲーム条例」の制定過程に疑問の声 パブコメ提出者の“実在”確認せず集計 (KSB 瀬戸内海放送, 4/15)
ゲーム条例パブコメに同じ誤字 「依存層」「条例にに」 (朝日, 4/15)
【解説】ゲーム条例のパブコメ「ご意見箱」に連続投稿の疑い…同じ誤字も多数 香川 (KSB 瀬戸内海放送, 4/16)
香川ゲーム条例、「(パブコメは)賛成多数だから採決しては」と発言したのは誰だったのか “大量の賛成票”はこのための布石だった? (ねとらぼ, 4/16)
ゲーム条例「賛成」何度でもOK ご意見箱、使ってみた (朝日, 4/18)。議会事務局に事前連絡の上で再現テスト。
事務局に確認すると、全ての送信が届いていた。こちらのメールアドレスなどは事務局は分からず、送信者が実在するか確認していない。住所や名前を少し変えれば、驚くほど簡単かつ短時間に、多くの人が意見を送ったかように装えることがわかった。
香川ゲーム条例、パブコメ原本を入手 賛成意見「大半が同じ日に投稿」「不自然な日本語」――あらためて見えた“異常”内容 (ねとらぼ, 4/25)
「マスク500万枚売った」 中国人業者が明かした事情 (朝日, 4/30)
マスクにわかに飽和状態 道路脇や自販機、商店街を席巻 (朝日, 5/7)。早くもダブつきだそうで。 尼崎の写真は 4/30 付で撮影されている。
一方、商店街を進むと、使い捨てマスクの箱が積み上げられている手芸用品店があった。周辺にマスクを扱う店が増え、在庫が余っているという。店員によると、子会社が中国にある工場でマスクを製造して5万箱を仕入れた。4月21日の販売初日には350万円を売り上げたが、ここ数日はその7分の1前後に。そこで価格を1箱3800円から3千円に引き下げた。店員は「あちこちで売られ、あっという間に客が減った」と嘆いた。
マスク「納品70万枚から」単価も乱高下、葛藤する薬局 (朝日, 5/6)
3月23日 (中略) 業者が提示してきた仕入れ条件を聞いて、耳を疑った。最少の仕入れ単位(1ロット)は70万枚。中国製で、納期は約2週間後。代金の約2700万円は先払いだった。
50 枚入りで 14,000 箱。当時の状況なら、この程度はすぐ売れそうだけどなあ。先払いは恐すぎるわけだけど。
手元にも、この 1 週間で、AliExpress で買ったあやしい奴 (10枚)、Banggood で買った奴 (50枚)、たまたま寄った草津の薬局で買った奴 (7枚) があつまったのですが、 アベノマスクはいまだに届きませんね。いらんけど。
関連:
疑惑の「アベノマスク」 興和・伊藤忠は自民に献金総額4.5億円、マツオカはマスク生産実績なしの初挑戦、ユースビオ社は正体不明… (三宅勝久 / My News Japan, 4/28)
妊婦用布マスク、不良品4万7000枚 厚労省 (時事, 5/1)。46,934 枚。
》 英国家サイバーセキュリティセンター、用語「whitelist」「blacklist」を使用中止へ (スラド, 5/4)。「「allow list」「deny list」へ置き換える」。
》 EFF曰く、AppleとGoogleによるSARS-CoV-2感染者との接触検出技術にはプライバシー保護とセキュリティ対策のさらなる強化が必要 (スラド, 5/5)
》 4月のWindowsバージョン別シェア、Windows 7が20%を割る (スラド, 5/6)。外に見えるものだけでも、まだ 1/5 は Windows 7 なのですね。
最新は Samba 4.12.2 / 4.11.9 / 4.10.15。
Use-after-free in Samba AD DC LDAP Server with ASQ - CVE-2020-10700 (Samba, 2020.04.28)
LDAP Denial of Service (stack overflow) in Samba AD DC - CVE-2020-10704 (Samba, 2020.04.28)
Google、Androidの2020年5月セキュリティ情報を発表 ~最大深刻度は“Critical” (窓の杜, 2020.05.07)
WordPress 5.4.1 公開。7 件のセキュリティ修正を含む。
Chrome 81.0.4044.138 公開。3 件のセキュリティ修正を含む。
出ました。
Firefox 76 がリリースされた (mozillaZine, 2020.05.06)
Firefox for Android 68.8 がリリースされた (mozillaZine, 2020.05.06)
Thunderbird 68.8 がリリースされた (mozillaZine, 2020.05.06)
SeaMonkey 2.53.2 がリリースされた (mozillaZine, 2020.05.06)
関連:
リリースされたばかりの「Firefox 76」に問題 ~Mozillaが修正版をリリース (窓の杜, 2020.05.11)。不具合は Firefox 76 のみの模様。
Firefox 76.0.1 がリリースされた (mozillaZine, 2020.05.09)
岡村隆史氏「『困っている女性が風俗に』大変不適切で深く反省」遅すぎる見解表明と問題意識の希薄さ (藤田孝典 / Yahoo, 4/29)
岡村隆史氏のラジオ番組内の謝罪「変わらなければならない」について (藤田孝典 / Yahoo, 5/1)
岡村隆史さんの発言に対する「署名はやりすぎだ」。その声に対して、22歳の私が持つ危機感 (ハフポスト, 5/1)
岡村隆史発言に風俗店幹部が怒る理由「あんた何にも分かってない」 (ダイヤモンド online, 5/1)
》 ANNOUNCE: Nettle-3.6 (GNU, 2020.04.29)。iida さん情報ありがとうございます。
シャープのマスク抽選販売、470万人から応募殺到 4万箱に急きょ増産 倍率は118倍に (ITmedia, 4/28)。すごいね。
関連: シャープ、第2回の個人向けマスクの抽選販売について発表--5万箱を販売予定 (CNET, 5/1)
トリニティの“原価マスク”、受注停止 「想定を上回る反響」で 次回は医療機関など優先 (ITmedia, 4/30)
「マスク500万枚売った」 中国人業者が明かした事情 (朝日, 4/30)。例の「タピオカ屋のマスク」の件について、ちゃんと取材した記事。
簡単に言うと、在日中国人の間で(マスク販売が)はやっているんです。
1枚あたりだと、仕入れ値がだいたい25~35円。それを輸入して、卸値が40~50円。なので小売価格が60~80円になるのも仕方ないんです。誰かが不当にもうけているわけではありません。
》 「オンライン会議システムを使うとき」に気を付けたい4つの注意点 (Internet Watch, 4/30)
》 デジタルカメラをWebカメラとしてMacで使おう!HDMIキャプチャなしで! (PC Watch, 4/30)。「今回のやり方はmacOSユーザー限定、さらにカメラボディも選ぶが、そのやり方を紹介したい」。
》 Canon、USBケーブル1本で一眼レフをWebカメラ化するソフト (PC Watch, 4/30)。「現時点では米国市場向けに公開されており、そのほかの地域はサポート対象外となっている」
Adobe 方面 (ColdFusion, After Effects, Digital Editions) (2020.04.21)
APSB20-19、APSB20-20 が出ました。
Security Updates Available for Adobe Bridge | APSB20-19 (Adobe, 2020.04.28)。Priority: 3
Security Updates Available for Adobe Illustrator | APSB20-20 (Adobe, 2020.04.28)。Priority: 3
Chrome 81.0.4044.129 公開。2 件のセキュリティ修正を含む。
「Microsoft Teams」にアカウント乗っ取りの脆弱性--修正済み (ZDNet, 2020.04.28)
Teamsでは、コンテンツへのアクセス許可を制限するために、「authtoken」と「skypetoken_asm」の2つのクッキーをトークンとして使用している。後者のskypetoken_asmは、「teams.microsoft.com」か、そのサブドメインにauthtokenを送信することで作成される。ところが、そのteams.microsoft.comの2つのサブドメインが乗っ取り可能な状態になっていることが明らかになったという。
Beware of the GIF: Account Takeover Vulnerability in Microsoft Teams (Cyberark, 2020.04.27)
ほぼすべてのウイルス対策ソフトにOSを破壊可能な脆弱性 ~現在は多くのソフトで修正済み (PC Watch, 2020.04.27)
Exploiting (Almost) Every Antivirus Software (RACK911 Labs, 2020.04.20)。 Windows / Mac / Linux での 複数のアンチウイルスソフトウェアにおける ジャンクションやシンボリックリンクの扱いに欠陥があり、 アンチウイルスソフトウェア自身や OS の破壊が容易に可能だったという。
Autodesk社の「FBX-SDK」に任意コード実行の脆弱性、「Office」「Paint 3D」にも影響 (窓の杜, 2020.04.23)
iOSのメールにゼロデイ脆弱性の指摘 メールを受け取るだけで被害か(Appleからのコメントあり) (ITmedia, 2020.04.23)。iOS 13.4.5 βでは修正されているという。
iOSのゼロデイ脆弱性、「差し迫った危険はない」とApple (ITmedia, 2020.04.27)
「VLC media player」v3.0.10が公開、CVE番号ベースで7件の脆弱性を修正 ~iOS/Android版にも影響 (窓の杜, 2020.04.30)