Last modified: Thu Apr 13 18:21:40 2023 +0900 (JST)
このページの情報を利用される前に、注意書きをお読みください。
》 【独自】10分交代で座り、飲み物分け合う...列車の中に10時間 乗客証言から見えた極限の中での"助け合い"【寒波・列車閉じ込め】 (FNN / Yahoo, 1/30)。そりゃそうだよなあ。
その原因が、JR西日本 列車立往生 ポイント融雪装置使うほどの降雪想定せず (NHK, 1/25) というのがなあ。 全国的に10年に一度の低温の見込み 大雪や猛吹雪などに警戒を (NHK, 1/24) とさんざん言われていたのに。 非常時に平時の対応をしてしまったと。
》 『はま寿司』に続く"回転寿司テロ"を『スシロー』が警察相談も、迷惑行為をSNS投稿の金髪男性「この程度のことでww」反省なしの開き直り (週刊女性 PRIME, 1/31)。関連:
SNS で拡散されたスシロー店舗での迷惑行為について (あきんどスシロー, 1/30)
[引用] 本件につきましては、スシロー全店において、当該事象発生の有無、発生していた場合その時期、被害に遭ったお店の特定などの調査を進めており、対象となりうる店舗では消毒などを進め、また、早急に警察と相談させていただきながら刑事民事の両面から厳正に対処してまいります。スシロー迷惑動画の男性が通うとされる学校に電話相次ぐ 教頭「本校の生徒か確認中」 (東スポ, 1/30)。当該高校名については滝沢ガレソ氏が公開していたようで。
寿司テロ&バイトテロ...「炎上動画」相次ぐ背景 識者が分析する「バカッター時代」との違いとは (J-CAST / Yahoo, 1/30)
》 「Windows 11 バージョン 22H2」のリモート デスクトップ接続の問題は解決 「KB5022360」の適用を (窓の杜, 1/30)。KB5022360 はいわゆる「C リリース」。
》 「PS5は世界中の小売店で」 SIE、PS Blogで供給増を約束も"日本語版から省いた一節" (ITmedia, 1/31)
》 KCPS設備の一部ストレージ障害について(2023年1月28日) (KDDI, 1/28)。事象継続中。
[引用] 再起動のトリガとなっているイベントから、復旧対処方法を検討した結果、別ストレージに データ移行を行う方針を決定しました。もともとのストレージは使いものにならなくなっている模様。 作業完了まで最長 2 週間ほどかかると。
関連:
KDDIのIaaSで60時間にわたる障害 一部ゾーンで「復旧には相当な時間を要する見込み」【追記あり】 (ITmedia, 1/30)
葛飾区立図書館でシステム障害、公式サイトなど利用できず 約80時間続くKDDIクラウド障害の影響で (ITmedia, 1/31)
KDDIのクラウド障害、完全復旧には最長で約2週間かかる見込み (ITmedia, 1/31)
》 Washington halts licences for US companies to export to Huawei (FT, 1/31)。いよいよ全面停止の模様です。 アメリカ政府の規制で深刻な危機に陥ったHuaweiの年間売上高が前年比で微増となり「危機的状態を脱した」と宣言 (gigazine, 1/6) かと思いきや、この状況。
》 他人が2要素認証を無効にできる脆弱性がFacebookに存在していた。現在は修正済み (PC Watch, 1/31)。 「6桁の2要素認証コード」の入力回数制限がなかったので、何度でも try し放題だったそうです。
》 時がロシアに味方か、長引く戦闘で西側に焦り 昨春にロシア軍がキーウから撤退した際のムードとは対照的 (Wall Street Journal, 1/30)
[引用] そうした急な動きには、もう一つ要因がある。当局者によると、欧米の世論は今のところ、軍事・財政支援を依然として固く支持している。しかし、プーチン氏は、戦争が何年も続き、米国などで政権が交代すれば、そうした支持は続かないと期待している可能性がある。欧州で記録的暖冬 (日経, 1/6) だったこともあり、今冬は保ったようだけれど、今後も続くかどうかはわからないよなあ。
関連: 欧州の「あり得ない暖冬」、実は世界経済を激変させる? 2023年「台風の目」はユーロ圏に (Business Insider, 1/27)
》 セブン―イレブン、卵使用商品を一部販売休止...鳥インフル流行で供給滞る (読売, 1/31)。鶏肉が不足気味という話は聞こえてきていたが、いよいよ卵もですか。
》 イスラエルがイラン軍需工場を無人機攻撃 (Wall Street Journal, 1/30)。イラン中部イスファハンの軍需工場へのドローン攻撃 (1/29) はイスラエルによるものだ、という話。
軍需工場にドローン攻撃か 爆発発生も「損害軽微」―イラン (時事, 1/29)
[引用] 国営イラン通信によると、国防省は「(ドローン)1機が防空網により撃墜され、他の2機は防衛機構に捉えられて爆発した。死者はおらず、工場の屋根に軽微な被害が出た」と説明した。イラン中部の軍需工場にドローン攻撃、死傷者なし (CNN, 1/29)
イラン、軍事施設へのドローン攻撃を「阻止」 建物が損傷も死傷者なしと (BBC, 1/30)
イランの中心都市イスファハンの軍事工場で大きな爆発音、死傷者なしと当局者 (アラブニュース, 1/29)
イラン軍事工場へのドローン攻撃、イスラエル関与か=米高官 (ロイター, 1/29)。ロイターも独自取材でイスラエル関与との「米高官」の匿名証言を記事に。
イラン軍需工場に無人機攻撃 米有力紙"イスラエルの攻撃" (NHK, 1/30)。WSJ 報道を引いた記事。
イラン軍需工場に無人機、イスラエルが攻撃の見方...米に圧力強化訴える狙いか (読売, 1/31)
》 Windows Sysinternals 更新情報 (2023 年 1 月 26 日) - RDCMan 2.92、Sysmon 14.14、ZoomIt 6.11 (山市良のえぬなんとかわーるど, 1/26)
Apple 方面 (iOS / iPadOS, tvOS, watchOS, macOS, Safari) (2022年07月21日)
脆弱性「CVE-2022-22583」と「CVE-2022-32800」に関する技術的な解説 (トレンドマイクロ, 2023年01月23日)。macOS の PackageKit に関する欠陥 CVE-2022-32800 について。
Apple 方面 (iOS / ipadOS, tvOS, watchOS, macOS, Safari) (2022年02月02日)
macOS の PackageKit に関する欠陥 CVE-2022-22583 について。
Technical Analysis of CVE-2022-22583: Bypassing macOS System Integrity Protection (SIP) (perception-point.io, 2022年01月27日)
脆弱性「CVE-2022-22583」と「CVE-2022-32800」に関する技術的な解説 (トレンドマイクロ, 2023年01月23日)
ウクライナ提供で激減したスティンガー、生産量を2025年までに50%増 (航空万能論 GF, 1/28)。50% 増やしても 60発/月だそうです。 誘導弾は高価で複雑。
[引用] 因みにレイセオンのヘイズ最高経営責任者は昨年末「約10ヶ月間の戦いでウクライナ軍は13年分のスティンガーを使い切った」と述べて注目を集めたが、ここまで携帯式対空ミサイルの消耗が激しいのは有人機との交戦だけでなく「低空の戦い」が激しいためで、つまり前線を飛び回る無数の商用ドローンやミリタリーバージョンの無人機を放置すると敵砲兵に狙われるため携帯式対空ミサイルが多用されているからだ。安価な対ドローン兵器が求められているけど、決定打はまだない感じ。 とりあえず、今そこにあるスティンガーを使うしかないのだろう。 個人携行できてドローンから対地攻撃機まで対処できるわけで、 スティンガーは利便性・汎用性が高いんだよね。
西側最大の砲兵戦力を保有する韓国、NATO事務総長がウクライナ支援強化を要請 (航空万能論 GF, 1/30)。韓国から直接供与してほしい件。
独ラインメタル、155mm砲弾を年間45万発〜50万発まで生産が可能 (航空万能論 GF, 1/30)。現状「戦車向けの120mm砲弾と榴弾砲向けの155mm砲弾を (小島注: それぞれ) 年間6万発〜7万発」から、120mm砲弾 年間24万発 + 155mm砲弾 年間45万発〜50万発「まで引き上げることが可能」 だそうで。
》 オンライン診療アプリSOKUYAKUのプライバシーポリシーが心配な件 (なか2656のblog, 1/30)
[引用] なお、このようなメッセージアプリは通信のやり取りを媒介するサービスなので、総務省に届出電気通信事業者の届出が必要となります。しかしSOKUYAKUを運営する会社サイトの会社概要をみると、届出電気通信事業者の届出番号が記載されていないのですが、これも電気通信事業法との観点からアウトなのではないかと思われます。BIND 9.x に 3 件のセキュリティ欠陥。
serve-stale が有効 (デフォルト: 無効)、かつ stale-answer-client-timeout > 0 の場合に発現
(緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2022-3924) - バージョンアップを強く推奨 - (JPRS, 2023年01月26日)
(緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2022-3736) - バージョンアップを強く推奨 - (JPRS, 2023年01月26日)
Dynamic Update を許可している場合に発現 (デフォルト: 拒否)
(緊急)BIND 9.xの脆弱性(メモリ不足の発生)について(CVE-2022-3094) - バージョンアップを強く推奨 - (JPRS, 2023年01月26日)
BIND 9.18.11 / 9.16.37 で修正されている。
》 DAPPI は月給 110 万円。 平社員では全くなさげ。
会社の業務中に貸与パソコンで「Dappi投稿」給与1割カットの懲戒処分に疑問点、原告側が裁判で指摘 (BuzzFeed, 2022年11月25日)
[引用] なお、懲戒処分に関連する証拠資料として提出されていた給与明細については、会社側による閲覧制限の申し立てが11月4日、東京地裁に却下された。「ここまで大きな問題になるとは...」Dappiめぐる裁判、従業員による私的な投稿と主張のWEB制作会社「業務と無関係」と改めて反論 (BuzzFeed, 1/23)
野党中傷「Dappi」発信元 投稿者に月給110万円 会社幹部関与か (しんぶん赤旗, 1/25)
》 最高裁のメールアドレスが「nifty.com」 河野大臣「これはすごい」と反応 対応へ (ITmedia, 1/26)
[引用] 裁判所の公式Webサイト内にある「変更事項の届出等について」のページでは、最高裁判所の連絡先として「@nifty.com」のメールアドレスを掲載しており、詐欺や間違いではないことが分かる(1月26日午後14時時点)。》 大雪で「ゆうパック」引受停止 近畿や四国ほぼ全域で「当面の間」 (ITmedia, 1/26)。関連:
天候不良の影響について【2023年1月26日(木)】10時現在 (郵便局, 1/26)。引受停止範囲が広過ぎる。これが小泉郵政改革の成れの果て。
非常に強い寒気の影響によるお荷物のお届け遅延について(1月26日 14:00更新) (ヤマト運輸, 1/26)。一部、引受停止地域あり。
天候不良による配送遅延について(2023年1月26日14時現在) (佐川急便, 1/26)。遅れはあるが、引受停止はしていない模様。
》 Wi-Fiルーター、捨てるときは必ず○しろまる○しろまるを 安全な処分の方法、バッファローに聞いた (ITmedia, 1/26)
[引用] Wi-Fiルーターにはお使いのプロバイダー情報などが記憶されているので、廃棄の前に必ず初期化作業が必要です。Chrome 109.0.5414.119 (Mac / Linux 版) および 109.0.5414.119/120 (Windows 版) 公開。6 件のセキュリティ修正を含む。
半導体不足が一転、供給過剰 PC・スマホ低迷で (Wall Street Journal, 2022年12月28日)
半導体の供給過剰、解消は23年秋以降 車向けは逼迫続く (日経, 1/4)
[引用] 対照的に、自動車や産業向け半導体はなお需給が逼迫している。短納期で手に入る部品が増えても「半導体、電子部品が1点でも入手できなければ生産できず、その他の部品は在庫にするしかない」(半導体商社のコアスタッフ)。古い生産技術を使った半導体部品を中心に、なお十分な量を確保しづらい状況だ。関連:
熊本・菊陽町進出のTSMC「日本に第2工場を検討」 (熊本日日新聞, 1/12)
TSMC進出の九州、続く半導体投資 京セラや三菱電機も (日経, 1/7)
》 ドイツがレオパルト提供を決定、米国は約30輌のエイブラムスを提供か (航空万能論 GF, 1/25)
[引用] ドイツのSpiegel紙は「少なくともドイツは陸軍在庫からレオパルト2A6を14輌提供する予定だ」と、FAZ紙は「オランダのルッテ首相がリース契約で導入した18輌のレオパルト2A6を購入に切り替えてウクライナ提供を検討中だ」と、ノルウェーのDN紙は「36輌保有するレオパルト2A4NOの内8輌を提供する可能性がある」と報じており、先に提供を表明しているポーランド分(14輌)とフィンランド分(不明)を合わせれば50輌以上のレオパルト2がロシア軍との戦いに向かうことになる。微妙に異なるレオパルト2 各種が戦場へ。 まあ、まずは訓練、訓練、訓練でしょうが。 それとも、実は訓練は既に実施中だったりするのだろうか。
M-1 の台数は、WSJ 記事 では max 50 両となっている。まあ、正式発表を待ちましょう。
関連: 対ウクライナの戦車供与、米国の影に隠れた欧州 (Wall Street Journal, 1/25)
》 ウクライナ支援の転換点、スイスが交戦国への武器移転を容認する方針 (航空万能論 GF, 1/25)。35mm 機関砲弾など。
》 米陸軍は155mm砲弾の生産量を朝鮮戦争の水準に戻す、2年以内に月産9万発 (航空万能論 GF, 1/25)
》 「Wi-Fiルータは暖房ついてる部屋に」氷点下は保証外、バッファローが注意喚起 (ITmedia, 1/25)。MIL-SPEC じゃないのでねえ。
》 Microsoft、「Edge」のWindows Server 2012/2012 R2対応を10月10日まで延長 (窓の杜, 1/25)。ESU ではどうなるんだろう。
》 「Microsoft 365」サービスに障害発生 〜TeamsやOutlookなどにアクセス不可に【20時55分追記】 (窓の杜, 1/25)。なんか動きが変だなあと思っていたけど、不具合だったのね。
昨日出てました。
iOS / iPadOS
About the security content of iOS 16.3 and iPadOS 16.3 (Apple, 2023年01月23日)
About the security content of iOS 15.7.3 and iPadOS 15.7.3 (Apple, 2023年01月23日)
iOS 12.5.7 のセキュリティコンテンツについて (Apple, 2023年01月23日)。 iOS 16.1.2、 iPadOS 16.2、 iOS / iPadOS 15.7.2 で修正された欠陥 CVE-2022-42856 の修正。
tvOS
About the security content of tvOS 16.3 (Apple, 2023年01月23日)
watchOS
About the security content of watchOS 9.3 (Apple, 2023年01月23日)
macOS
About the security content of macOS Ventura 13.2 (Apple, 2023年01月23日)
macOS Monterey 12.6.3 のセキュリティコンテンツについて (Apple, 2023年01月23日)
macOS Big Sur 11.7.3 のセキュリティコンテンツについて (Apple, 2023年01月23日)
Safari
Safari 16.3 のセキュリティコンテンツについて (Apple, 2023年01月23日)
》 『徴用』問題 最終局面 日韓関係の行方 (NHK 解説委員室, 1/20)
Security Advisory 2023-01 for PowerDNS Recursor 4.8.0 (CVE-2023-22617) (oss-sec ML, 2023年01月20日)。 PowerDNS Recursor 4.8.0 のみの欠陥。 PowerDNS Recursor 4.8.1 で修正。
Wireshark 4.0.3 Release Notes (Wireshark, 2023年01月18日)
Wireshark 3.6.11 Release Notes (Wireshark, 2023年01月18日)
Drupal core - Moderately critical - Information Disclosure - SA-CORE-2023-001 (Drupal, 2023年01月18日)。 Media Library モジュールに欠陥。 Drupal 10.0.2 / 9.5.2 / 9.4.10 で修正。 Drupal 7 にはこの問題はない。
》 STREAMLIGHT 1AAクラス世代交代なるか!? 1L-1AA VS MACROSRTREAM (目指せ!ライトマニア AKARICENTER 懐中電灯レビュー, 1/18)
》 New T-Mobile Breach Affects 37 Million Accounts (Krebs on Security, 1/19)
》 メール配信サービス「Mailchimp」がハッカーによる不正アクセスを受け顧客データの一部が流出か (gigazine, 1/19)
》 システム不具合によりアメリカ全土のフライトが一時欠航になった原因は「請負業者によるファイル削除」との結論 (gigazine, 1/23)。NOTAM 不具合の件。
》 航空会社が誤って公開していたサーバーから約150万件の飛行禁止対象者のリストが流出 (gigazine, 1/23)
》 シリアに違法駐留を続ける米軍の基地が「イランの民兵」所属と見られる自爆型ドローンの攻撃を受ける (青山弘之 / Yahoo, 1/21)
》 「Twitterの無駄機能を全部殺せる」 ブラウザ拡張「Tweak New Twitter」が話題 フォローのツイートだけ表示など (ITmedia, 1/23)
[引用] 記者も実際に使ってみたが、なかなか快適だ。Twitterに対し「フォローしている人やフォロワーのツイートを時系列に見せてくれればそれでいい」「余計な機能はいらない」と求めるユーザーの声も多く見られるが、その要望をおおむね実現してくれると感じた。》 「今までありがとう」サードパーティ製Twitterアプリの公式アカウント、開発停止を続々表明 (Internet Watch, 1/23)
[引用] 広告が表示されないサードパーティ製Twitterクライアントが同社の方針と相容れないことはかねてより指摘されており、この結末を予想していた開発者も多かったようで、今回の発表に合わせて開発や配布の終了を淡々と告知する様子が目立っていた。関連:
Twitterサードパーティアプリの停止は「意図的」と報道、収益改善が狙いか (男子ハック, 1/16)
Twitter Blueとサードパーティ製アプリ締め出しの着地点 (8vivid, 1/17)
イーロン・マスク「おすすめの強制表示の廃止」「おすすめに国外のツイート」「広告ナシで高価なTwitter Blue」を予告 (男子ハック, 1/23)
》 ChatGPTのヤバさは、論理処理が必要と思ったことが確率処理でできるとわかったこと (きしだのHatena, 1/10)
印刷不具合の修正の他、Edge 固有のセキュリティ欠陥 CVE-2023-21719 の修正が含まれるそうです。
》 ロシアのスパイとして射殺されたキレフ氏、実際はキーウ占領を阻止した功労者 (航空万能論 GF, 1/20)。映画化決定だろこんなの。
[引用] ブダノフ准将の説明によるとキレフ氏はウクライナ国防省情報総局(GBR)のエージェントで「彼がロシア側の情報を伝えてくれたお陰で23日にプーチンがウクライナ侵攻を命じたことも、攻撃の目標が何処なのかも全て事前に知ることができ、キーウ防衛のため軍を配備する貴重な時間を得ることができた」と述べており、24日朝にロシア軍空挺部隊がアントノフ空港を強襲するのを事前に把握して阻止できたのは「キレフ氏のお陰だ」と示唆。》 ウクライナはなぜドイツの戦車を求めるのか 「3大戦車」その性能は (朝日, 1/20)
[引用] ――旧ソ連製の戦車を使っていたウクライナがすぐに使いこなせるようになりますか。なので、次回の攻勢 (3〜4月?) に間にあわせるには今すぐ戦車を取得して訓練をはじめられないと駄目だと。
》 続々と発表されるウクライナ支援、デンマークは保有するCaesarを全部提供 (航空万能論 GF, 1/20)。19両。
》 欧州9ヶ国がタリン宣言を発表、ウクライナに対する集団的軍事援助を約束 (航空万能論 GF, 1/20)。「英国、オランダ、デンマーク、ポーランド、チェコ、スロバキア、エストニア、ラトビア、リトアニアの9ヶ国」。
》 独産業界の奇抜な計画、オマーン保有のチャレンジャー1をウクライナに提供 (航空万能論 GF, 1/20)。50両以上。あくまで plan。
》 ウクライナへの戦車提供、英国に続きフランスもルクレール提供を検討か (航空万能論 GF, 1/19)。生産数が全然違うのですね。
[引用] ショルツ首相は西側製戦車のウクライナ提供で「ドイツ製戦車の提供数」が突出するのを何よりも嫌っており、英国とフランスがチャレンジャー2(227輌保有)とルクレール(222輌保有)を提供すると言っても量が限定的で、3,000輌以上も生産されたレオパルト2の提供や移転承認を認めればドイツ製戦車の提供数が突出するのは目に見えているため「米国がエイブラムスを出すなら」と主張している。》 ドイツ製戦車供与は「米国次第」 ショルツ首相の意向と報道 (東京, 1/19)。レオパルド2 供与の件、 米国が M-1 エイブラムズの供与を渋っているから、ということにしたいと。
つづき: ドイツ国防相、レオパルト2は単独提供が可能で数日以内に決定が下される (航空万能論 GF, 1/20)。ポーランド所有のレオパルド2 がウクライナに供与されるのは時間の問題?
》 ドイツでロシア関係者が民意扇動か ウクライナ支援の弱体化狙う (産経, 1/10)。詳細はこちら:
Pro-Putin operatives in Germany work to turn Berlin against Ukraine (Reuters, 1/3)。ロイターの調査報道。
》 通信事業者は最悪事態の想定を、大規模障害「地獄絵図」の教訓とは (日経 xTECH, 1/20)
[引用] 日経クロステック堀越功関連:
KDDI通信障害の報告書で見えた地獄絵図、痛恨のミスから次々と事態が悪化 (日経 xTECH, 2022年10月12日)
電気通信事故検証 報告書 (令和4年7月2日発生した KDDI 株式会社及び沖縄セルラー電話株式会社 による重大事故) (電気通信事故検証会議 / 総務省, 2022.10)
令和4年度 第4回 電気通信事故検証会議 (総務省, 2022年11月01日)、 資料4-2 「電気通信事故に対する適切な対応について(指導)」の実施状況について(KDDI株式会社・沖縄セルラー電話株式会社) (総務省, 2022年11月01日)
指導内容はこちら: 電気通信事故に関する適切な対応について(指導) (総務省, 2022年08月03日)
令和4年度 第6回 電気通信事故検証会議 (総務省, 2022年12月21日)、 資料6-3 電気通信事故検証会議(構造問題関係)の検討事項等について (総務省, 2022年12月21日)
令和4年度 第8回 電気通信事故検証会議 (総務省, 1/18)、 資料8-2 「電気通信事故に対する適切な対応(指導)」の実施状況について (西日本電信電話株式会社) (総務省, 1/18)
指導内容はこちら: 西日本電信電話株式会社に対する電気通信事故に関する適切な対応についての指導 (総務省, 2022年09月30日)
》 トンネル工事の出水で井戸枯れか、広島で異変相次ぐ (日経 xTECH, 1/20)。トンネル工事というのは、こういうことが実際に起こるわけですね。
[引用] 広島県熊野町の平谷地区で井戸枯れが相次いだ問題は、地下送水トンネルの新設工事が影響している可能性が高いことが分かった。2021年7月ごろからトンネル掘削時の湧水量が増え、同年10月以降に井戸の異変を訴える苦情が続出した。》 EVに逆風か、新規制「ユーロ7」はタイヤ粉じんも対象 (日経 xTECH, 1/20)
[引用] とりわけ、欧州で販売が伸びているEVでは対策が難しくなりそうだ。EVは大容量のリチウムイオン電池を搭載するため、車両質量が内燃機関(ICE)搭載車より重くなりやすい。(中略) モーターで駆動するEVは発進・加速時の強力なトルクが持ち味でもある。こうしたEVの特徴は、タイヤの摩耗量が増える要因となる。Firefox 109.0 / ESR 102.7.0、Firefox for Android 109 公開 (2023年01月18日)
Thunderbird 102.7.0 出ました。ただし、既知の不具合があるため自動更新はされないそうです。
Thunderbird 102.7.0 がリリースされた (mozillaZine.jp, 2023年01月20日)
[引用] Microsoft 365 の法人アカウントの OAuth2 認証に関する不具合が確認されているため、Thunderbird 102.7.0 への自動アップデートは行われない。この問題の影響を受けるユーザーは、バージョン 102.7.0 へのアップデートは行わず近日中にリリース予定のバージョン 102.7.1 を待つべきである。詳細は「既知の問題」セクションを参照されたい。》 攻撃ヘリコプターを廃止する陸上自衛隊 (JSF / Yahoo, 1/19)。 攻撃/偵察専用は廃止し、 汎用ヘリ + 武装 + ドローンで対応する話。 ぶっちゃけ金がないからなんだけど、 ウクライナ戦争での実績がそれを加速させた感。
》 RSAの終わりの始まり - 暗号移行再び (@lemiyachi / qiita, 1/18)。RSA 2048bit もそろそろ終了が見えてきたようです。 今のうちから ECDSA に移行するのが吉なのかな。 (typo fixed: iida さん感謝)
》 バンナム元社員、会社スマホ4400台を無断で売り約6億円着服 民事訴訟へ (ITmedia, 1/18)
[引用] 2021年11月、社内で管理しているスマホなどのモバイル端末の数と、実際に使用されている端末の数に差異があることが発覚。調査したところ、元従業員の関与が明らかになった。》 コインベースが日本撤退、1年半で (Impress Watch, 1/18)。関連:
Coinbase、950人をレイオフ 昨年6月に続けて (ITmedia, 1/11)
ビットコイン価格上昇の原因はコインベースの機関投資家?──バイナンスのクジラも関係か (coindesk japan, 1/18)
「Git」に3件の脆弱性 〜修正版のv2.39.1が公開 「Git for Windows」もアップデート (窓の杜, 2023年01月18日)
Synology-SA-22:26 VPN Plus Server (Synology, 2022年12月30日)
VPN Plus Server (Synology)
Oracle 2023 年第 1 半期定例 patch 出てます。 VirtualBox 6.1.42 / 7.0.6、 Java SE 8u361 / 11.0.18 / 17.0.6 / 19.0.2 など。
VirtualBox。6 件のセキュリティ欠陥を修正。
VirtualBox 7.0.6 (virtualbox.org, 2023年01月17日)
VirtualBox 6.1.42 (virtualbox.org, 2023年01月17日)
JavaSE。 4 件のセキュリティ欠陥を修正。 CVE-2022-43548 の対象は Oracle GraalVM Enterprise Edition のみ。
JDK Releases (java.com)
Java SE Development Kit 8, Update 361 (JDK 8u361) Release Notes (oracle.com, 2023年01月17日)
Java SE 11.0.18 Advanced - Bundled Patch Release (BPR) - Bug Fixes and Updates (oracle.com, 2023年01月17日)
Java SE 17.0.6 - Bundled Patch Release (BPR) - Bug Fixes and Updates (oracle.com, 2023年01月17日)
Java SE Development Kit 19.0.2 (JDK 19.0.2) (oracle.com, 2023年01月17日)
OpenJDK JDK 19.0.2 General-Availability Release (jdk.java.net)
OpenJDK Vulnerability Advisory: 2023年01月17日 (openjdk.org)
Download Liberica JDK (bell-sw.com)
Amazon Corretto (GitHub)
関連:
2023年1月Oracle製品のクリティカルパッチアップデートに関する注意喚起 (JPCERT/CC, 2023年01月18日)
Oracle、2023年1月「Critical Patch Update」を実施 〜327件のセキュリティパッチをリリース (窓の杜, 2023年01月18日)
》 ロシア・参謀総長・総司令官 異例の兼務 (NHK 解説委員室, 1/18)
》 NATO加盟 北欧とトルコの駆け引き (NHK 解説委員室, 1/18)
[引用] Q.トルコとスウェーデンがNATO加盟をめぐってここまでこじれているのは何故でしょうか。》 クレジットカード不正利用 最悪の見通し 対策を解説 (NHK 解説委員室, 1/18)
》 iPhoneを奪い取られた後「AppleのサポートのせいでiCloudアカウントまで失ってしまった」との体験談 (gigazine, 1/17) (
[引用] ビジャルバ氏の兄弟が受けた攻撃は、iPhoneを盗まれた被害者が新しいSIMカードを入手すると、古いSIMカードが使えなくなることを利用した手口です。これにより被害者が新しいSIMを取得したことを察知した犯人は、発信元をAppleのサポートに偽装したフィッシングメッセージを被害者に送りつけます。そして、被害者からiCloudアカウントとパスワードをだまし取ることに成功すると、iPhoneのロックを解除してiPhoneを売り払ってしまいます。》 テスラの「完全自動運転で通勤するムービー」はやらせだったことが判明 (gigazine, 1/18)。イメージ映像。
》 環境活動家のグレタ・トゥーンベリがドイツで警察に連行される (gigazine, 1/18)
[引用] 地元のアーヘン警察によると、トゥーンベリ氏らは逮捕されたわけではなく、他の抗議者とともに身元確認のために移動されたとのこと。》 GoogleがAppleの「AirTag」のような落とし物トラッカーを開発しているとリークされる、2023年秋に新型Pixelと同時発売か (gigazine, 1/18)
》 ニュースサイト「CNET」に掲載されたAI製記事は人間のファクトチェックを経てもなお重大な誤りが含まれていた (gigazine, 1/18)
》 秀丸メール:HTMLメールViewerの動作不良について (秀まるおのホームページ, 1/17)
[引用] 当社でテストした所、Windows10/11の「22H2」に対しての最近出てきた更新プログラム(Windows10用 = KB5015684、Windows11用 = KB5022303)がインストールされるとおかしくなるようです。Edge 109、印刷不具合に続いてこれですか。
関連: Microsoft Edge で PDFなどを読み込んで印刷しようとしても反応しない Part 2 (パソコンのツボ 〜 Office のTIP, 1/16)
》 貴石のチケット: 詳解 次世代型Kerberos攻撃 (paloalto unit42, 2022年12月21日)
[引用] リサーチャーの推測では、Sapphire Ticket攻撃とDiamond Ticket攻撃はGolden Ticket攻撃と似ていますが、さらに発見が困難になるので、将来的に多様な脅威アクター(Playful Taurusなど)がこれらの攻撃を使用する危険性があります。》 ロシアの侵攻前日、マイクロソフトが察知した異変 サイバー戦最前線 (朝日, 1/17)
[引用] 米国では2013年、ロシアに亡命した元米中央情報局(CIA)職員のエドワード・スノーデン氏による内部告発で、IT大手9社が政府が進める個人情報の収集に協力していたことが発覚。この時には政府とIT大手の「密約」に厳しい批判がわき起こった。》 「Microsoft Defender」に削除されたショートカットを修復するスクリプト、v2.0が公開 日本語環境では最新版の利用を推奨 (窓の杜, 1/17)
》 「MSYS2」でWindows 7/8対応が終了 〜32bit版「Qt 6」のサポートも打ち切り (窓の杜, 1/17)
護衛艦「いなづま」。 DD-105。 むらさめ型護衛艦。
海自護衛艦「いなづま」が座礁(山口県周防大島沖) (中国新聞, 1/10)
護衛艦「いなづま」を詳細調査へ 瀬戸内で座礁、造船所到着 (神戸新聞, 1/16)。 ジャパンマリンユナイテッド 因島事業所 (広島県尾道市)。
護衛艦「いなづま」の航行不能、原因は運航面にあった可能性高いとの認識...海上幕僚長 (読売, 1/17)。機器不具合でも天候不順でもないので。
巡視船「えちご」 。PLH-08。つがる型巡視船。
巡視船「えちご」新潟 沖合で浅瀬に乗り上げ浸水 けが人なし (NHK, 1/18)
【速報】海保の巡視船「えちご」座礁 新潟柏崎市沖 (テレビ朝日 / Yahoo, 1/18)
Apache 2.4.55 公開。3 件のセキュリティ欠陥を修正。
[引用]iida さん情報ありがとうございます。
Thunderbird 102.7.0 はまだみたい。
Firefox 109.0, See All New Features, Updates and Fixes (Mozilla, 2023年01月17日)
Firefox ESR 102.7.0, See All New Features, Updates and Fixes (Mozilla, 2023年01月17日)
Firefox for Android 109.0, See All New Features, Updates and Fixes (Mozilla, 2023年01月17日)
Thunderbird 102.7.0 方面:
Thunderbird の OAuth 対応状況など (mozillazine.jp)
[引用] > 個人アカウントだと outlook.office365.com、smtp.office365.com でも OAuth2 を使えない件ですがImportant: Thunderbird 102.7.0 And Microsoft Office 365 Enterprise Users (blog.thunderbird.net, 2023年01月17日)
Thunderbird 102.7.0 出ました。ただし、既知の不具合があるため自動更新はされないそうです。
Thunderbird 102.7.0 がリリースされた (mozillaZine.jp, 2023年01月20日)
[引用] Microsoft 365 の法人アカウントの OAuth2 認証に関する不具合が確認されているため、Thunderbird 102.7.0 への自動アップデートは行われない。この問題の影響を受けるユーザーは、バージョン 102.7.0 へのアップデートは行わず近日中にリリース予定のバージョン 102.7.1 を待つべきである。詳細は「既知の問題」セクションを参照されたい。Thunderbird 102.7.1 出ました。自動更新されます。 セキュリティ修正を含みます。
Thunderbird 102.7.1 がリリースされた (mozillaZine.jp, 2023年02月01日)
Firefox 109.0.1 も出ています。セキュリティ修正はありません。
Firefox 109.0.1 がリリースされた (mozillaZine.jp, 2023年02月01日)
》 Microsoft Edgeで印刷できない不具合。バージョン109から発生。対処方法・回避策あり (ニッチなPCゲーマーの環境構築Z, 1/16)。CTRL-P は駄目だけど、 CTRL-SHIFT-P なら ok なのだそうで。
[引用] プリンター一覧に2バイト文字(全角)のプリンターがあるとこの不具合が発生します。一覧にある2バイト文字のプリンター名をすべて1バイト文字(半角)に変更するか、2バイト文字のプリンタードライバを削除すると、この不具合は発生しません。》 Avastが無料でランサムウェア復号ソフトを配布 (gigazine, 1/17)
》 お掃除ロボットがスパイに? (Kaspersky, 1/17)。 「ルンバが撮ったトイレ中の女性の写真がFacebookに投稿された」という記事がネットで激論に (gigazine, 2022年12月20日) を受けての記事みたい。
[引用] ロボット掃除機によるデータの収集や漏洩のリスクを最小限に抑えるように、使い方を調整することは、そんなに難しいことではありません。例えば、自宅の間取りをメーカーのサーバーに送信しないように掃除機を設定したり、家族がいるときは掃除機を使わないようにしたり、寝室や書斎など特定の部屋に掃除機が入らないように設定することもできます。この最後のオプションは、ロボット掃除機上で設定できる場合もありますが、掃除機メーカーが販売しているバーチャルウォールバリアを利用するとさらに安全です。》 ロシア雇い兵組織「ワグネル」の元指揮官、ノルウェーに亡命申請 ウクライナで実態見て (BBC, 1/17)
[引用] ロシアの人権団体「Gulagu」(中略) の創設者ウラジーミル・オセチキン氏はBBCに対し、メドベージェフ氏は2022年7月に4カ月契約でワグネルに加わったが、ウクライナでの職務中に多数の人権侵害と戦争犯罪を目撃して脱走したと語った。》 IntelやMicrosoftがロシアへのソフトウェア配信規制の一部をこっそり解除か (gigazine, 1/16)
》 Microsoft Defender for Endpointで事件です。 (山市良のえぬなんとかわーるど, 1/16)。 「Microsoft Defender」がショートカットファイルを破壊・削除 〜Microsoftが対策、復旧策を案内 (窓の杜, 1/16) の件。
》 イーロン・マスクのTwitter改革によって「日本で政治的なトレンドが減少」「インドでヘイトスピーチが増加」など世界中で変化が生じている (gigazine, 1/16)
》 Dellが中国製のチップの使用を2024年までに削減・停止へ (gigazine, 1/6)
》 個人情報保護委員会 「犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会報告書(案)」に関する意見募集 (まるちゃんの情報セキュリティ気まぐれ日記, 1/13)。2/12 まで。
》 読みました! 「偽情報戦争」 (まるちゃんの情報セキュリティ気まぐれ日記, 1/15)。 まだ発売前だった。
》 システム障害による米国内全便のフライト一時停止についてまとめてみた (piyolog, 1/14)。NOTAM の件。
》 CircleCIへの不正アクセスについてまとめてみた (piyolog, 1/16)
》 アフラックとチューリッヒの情報流出についてまとめてみた (piyolog, 1/13)。業務委託先から漏洩。
》 12月のドコモ障害、故障検知ミス・不正確な手順書で延べ311万人に影響 総務省に報告書提出 (ITmedia, 1/16)
「GYAO!」サービス終了のお知らせ (Zホールディングス, 1/16)
「GYAO!」も終了へ 「LINE LIVE」と同時 ショート動画「LINE VOOM」に資源集中 (ITmedia, 1/16)
「GYAO!」3月終了の余波 最終回が間に合わないアニメ多数 独占配信は代替手段なし (ITmedia, 1/16)。おぉぅ。
》 イエティ航空 YT691 便墜落事故 (1/15) 方面。 ATR72-500。
ATR 72-500 (atr-aircraft.com)、 ATR 72 (ウィキペディア)
ネパール中部でイエティ航空機が墜落 29人死亡 (AviationWire, 1/15)
[引用] イエティ航空は6機のATR72を保有。Aviation Wireの調べによると、事故機はインドのキングフィッシャー航空(13年に運航停止)が16年前の2007年8月に受領した機体で、座席数は1クラス66席だった。その後2社を経て、イエティ航空は2019年4月に受領している。機体自体はめちゃくちゃ古いというわけではなさそう。
ネパールYT691便墜落、死者68人に 16日は全便欠航 (AviationWire, 1/16)
ネパールの墜落事故、飛行機利用が世界で最も危険な国の評判強める (ブルームバーグ, 1/17)
結果として、事故のライブ配信となってしまった模様。
ネパール墜落事故、搭乗客が動画をライブ配信 パイロットからは「異常報告なかった」と当局 (BBC, 1/17)
ネパールの飛行機墜落事故 機内からライブ配信されたという映像がTwitter上で拡散 (ITmedia, 1/16)
突然、画面乱れ...悲鳴も ネパール旅客機墜落直前の"ライブ配信"映像 68人の死亡確認 (TBS NEWS DIG / YouTube, 1/16)
ネパール 旅客機墜落事故 フライトレコーダーなど回収 (NHK, 1/16)
ネパール旅客機、墜落直前...左側に突然傾き 専門家「エンジン出力不足か」 (TV 朝日, 1/16)
》 レッツノートはUSB PDをどこまで信じているのか (山田 祥平 / PC Watch, 1/14)
》 「Microsoft Defender」がショートカットファイルを破壊・削除 〜Microsoftが対策、復旧策を案内 (窓の杜, 1/16)。問題のあったルール自体は既に修正されている模様。
》 六本木で火災、スプレー缶のガス抜き中に爆発か。廃棄時は「穴開けしないで」と環境省、安全な捨て方とは...? (BuzzFeed, 1/16)
[引用] 環境省は2009年から自治体に対し「穴開けをしない方向が望ましい」という風に伝え、通知も出してきた。へえ。
スプレー缶取扱い中の火災に注意してください! (大津市)
[引用] 大津市では、カセットボンベなどのエアゾール缶は、中身を使いきり、穴をあけずに缶の日に捨ててください。スプレー缶(エアゾール缶)、カセットボンベの出し方 (草津市)
[引用] 注記:穴を空ける必要はありません。穴を開けようと、勢いよく釘を刺したりハンマーで叩いたりすると、爆発の恐れがあり危険です。令和2年4月から、スプレー缶・カセットボンベ類の出し方が変更になりました (栗東市)
[引用] スプレー缶・カセットボンベ類は、穴を開けずにコンテナへ出せます。カセットボンベ・スプレー缶、使用済みライターの回収方法について (守山市)
[引用] 必ず使い切り、穴を空けてください。スプレー缶の廃棄について【注意】!! (野洲市)
[引用] 野洲市ではスプレー缶を捨てる際は、中身を使い切り、自身で缶に穴を空けて頂く必要があります。ごみ の 分別 と 出し方 (近江八幡市)
[引用] スプレー缶、カセットボンベは、中身を使いきり穴2か所を開けて出してください。田舎ほど旧体制のままなんですかね。(分析がざっくりすぎる)
》 スマホの回線がつながらない...と思ったら金銭被害まで発生!? 脅威の「SIMスワップ詐欺」とは (Internet Watch, 1/13)
》 プチ鹿島が川口浩探検隊を"探検"した理由「メディアの熱狂の時代を不透明決着で終わらせてはいけない」 (日刊ゲンダイ, 1/16)。 ヤラセと情熱 水曜スペシャル『川口浩探検隊』の真実 の件。電書版も出ました。
[引用] ──メディアが熱狂していた時代ですよね。》 「LibreOffice 7.4.4 Community」が公開 〜「LibreOffice 7.3」ユーザーは移行を (窓の杜, 1/13)
》 スノーモービルやスキーでiPhoneやApple Watchの衝突事故検出が誤誘発 (やじうま Watch, 1/12)
》 「Starlink」大幅値下げ、衛星インターネットが月額6600円に アンテナも半額 (ITmedia, 1/13)
》 結局、紙で保存でOKなのか? 電子帳簿保存法がアップデート 売上高5000万円以下は検索要件不要に (ITmedia, 1/13)
》 Twitterから漏えいした6億件の個人情報は「Twitterの脆弱性を悪用して取得されたものではない」とTwitterが主張 (gigazine, 1/12)
》 NOTAM がクラッシュして米国国内便が停止 (1/10)
米航空システム「NOTAM」の異常で空の便大混乱、原因は? (CNN, 1/12)
全米の航空便を停止させる原因となった「NOTAMシステム」とは (Business Insider, 1/12)
コンピューターシステムの不具合によりアメリカ全土のフライトが一時欠航に (gigazine, 1/12)
Inte oneAPI Toolkit software Advisory (Intel, 2023年01月10日)
AMD Client Vulnerabilities – January 2023 (AMD, 2023年01月10日)
AMD Server Vulnerabilities – January 2023 (AMD, 2023年01月10日)
Acrobat and Reader、InDesign、InCopy、Dimension。 いずれも Windows / macOS 版両方が対象。 いずれも Priority: 3
Security update available for Adobe Acrobat and Reader | APSB23-01 (Adobe, 2023年01月10日)
Security Update Available for Adobe InDesign | APSB23-07 (Adobe, 2023年01月10日)
Security Update Available for Adobe InCopy | APSB23-08 (Adobe, 2023年01月10日)
Security updates available for Dimension | APSB23-10 (Adobe, 2023年01月10日)
APSB23-02〜06 まで、ごっそり空いている。
Chrome Stable Channel Update for Desktop (2023年01月12日)
Windows 7 / 8.1、Windows Server 2012 / 2012 R2 対応は Chrome 109 までだそうです。
「MathML」に対応した「Google Chrome 109」が正式版に 〜Windows 7/8.1対応はこれが最後 (窓の杜, 2023年01月11日)
Windows Server 2012/2012 R2対応も終了 〜「Google Chrome 110」からはWindows 10以降が必要に (窓の杜, 2023年01月13日)
Edge はどうなるんでしょうね。 ...... Edge も同様のようです。
「Microsoft Edge 109」が正式版に 〜ルートストアをOSから「Chromium」へ移行 (窓の杜, 2023年01月13日)
2022 年 12 月のセキュリティ更新プログラム (月例) (2022年12月15日)
Windows 10 用 2022.12 patch (KB5021233) 適用でブルー画面になることがある問題は 2023.01 patch (KB5022282) で修正されたそうです。
「Windows 10」のブルースクリーン問題は解決 〜2023年1月セキュリティパッチの適用を (窓の杜, 2023年01月12日)
》 「Password1234」などの超単純パスワードがアメリカ政府機関で大量に使われていた (gigazine, 1/12)。にんげんだもの。
》 Webサーバー「Apache」にアメリカ先住民から名称変更の要請 (gigazine, 1/12)。web サーバーではなく Apache Software Foundation の名前を変えてくれという話。 原義に戻って a patchy なら ok なのかな。
はい、昨日出てます。まだぜんぜん読めてません。 Windows 7 / 8.1 は今回で終了です。
[引用]今月は Servicing Stack Updates はありません。
Exchange 方面特記事項:
[引用] 今月の Microsoft Exchange の更新プログラムを適用すると、多層防御のための新機能である Exchange Server における PowerShell シリアライゼーションペイロードの証明書署名 が追加されます。 Exchange Server 管理者は、この新機能を手動で有効にする必要があります。有効化の手順、および機能の詳細については、 Exchange チームブログ Released: January 2023 Exchange Server Security Updates をご参照ください。0-day は 2 件。
Windows Advanced Local Procedure Call (ALPC) Elevation of Privilege Vulnerability CVE-2023-21674 (Microsoft, 2023年01月10日)。既に攻略されている。
Windows SMB Witness Service Elevation of Privilege Vulnerability CVE-2023-21549 (Microsoft, 2023年01月10日)。情報公開済。攻略プログラムは確認されていない。
関連:
Microsoft January 2023 Patch Tuesday (SANS ISC, 2023年01月10日)
【Windows10】 WindowsUpdate 2023年1月 不具合情報 - セキュリティ更新プログラム KB5022282 (ニッチなPCゲーマーの環境構築Z, 2023年01月11日)
【Windows11】 WindowsUpdate 2023年1月 不具合情報 - セキュリティ更新プログラム KB5022303 / KB5022287 (ニッチなPCゲーマーの環境構築Z, 2023年01月11日)
【Windows8.1】 WindowsUpdate 2023年1月 注意事項と各KBメモと直リンク KB5022352 / KB5022346等。今回でサポート終了 (ニッチなPCゲーマーの環境構築Z, 2023年01月11日)
2023年1月マイクロソフトセキュリティ更新プログラムに関する注意喚起に関する注意喚起 (JPCERT/CC, 2023年01月11日)
Chrome 109.0.5414.74 (Linux)、Chrome 109.0.5414.74/.75 (Windows)、Chrome 109.0.5414.87 (Mac) が stable に。17 件のセキュリティ修正を含む。Mac 版だけずいぶん離れた番号だなあ。
iOS 版も出ています: Chrome Stable for iOS Update (Google, 2023年01月10日)
Windows 7 / 8.1、Windows Server 2012 / 2012 R2 対応は Chrome 109 までだそうです。
「MathML」に対応した「Google Chrome 109」が正式版に 〜Windows 7/8.1対応はこれが最後 (窓の杜, 2023年01月11日)
Windows Server 2012/2012 R2対応も終了 〜「Google Chrome 110」からはWindows 10以降が必要に (窓の杜, 2023年01月13日)
Edge はどうなるんでしょうね。 ...... Edge も同様のようです。
「Microsoft Edge 109」が正式版に 〜ルートストアをOSから「Chromium」へ移行 (窓の杜, 2023年01月13日)
》 決定、2022年マライ・メントライン文芸賞!『ロマニ・コード』(角悠介)を驚異と言わずなんとする (マライ・メントライン / QJWeb, 1/11)
[引用] だからですね、これは版元に怒られるかもしれないけど、本書、たとえばこの内容のままでタイトルを『文学部の学者のくせに即物的にしか思考できないボクは奇怪言語で覚醒する』にして、電撃文庫とかから出したほうが市場に刺さって絶対売れるしウケる(というか知性の種が世に拡散される)と思うのですよ。電撃ノンフィクション叢書第一弾! とかいって。表紙が美女と加齢臭おやじの共演イラストになったりするのは内容的にもウソじゃないし(笑)。関連:
ツイート
【大反響御礼❗️】
— 夜間飛行 (@bookyakan) January 10, 2023
多数メディアにてとりあげていただきました✨
(日本経済新聞、西日本新聞、週刊現代、週刊文春)
注目の本書、ぜひご覧ください!
角悠介『ロマニ・コード』https://t.co/T41StRXh4N #ロマ #旅 #民族学 #読書 #読書好きな人と繋がりたい #言語学 #放浪 #ノンフィクション pic.twitter.com/wRHgTjQsO2
》 明日 (1/11 JST)は毎月恒例 Windows Update の日、Windows 8.1 最後の更新 (山市良のえぬなんとかわーるど, 1/10)
》 Malware Analysis Operations(MAOps)の自動化 (JPCERT/CC Eyes, 1/10)
》 LogonTracer v1.6 リリース (JPCERT/CC Eyes, 2022年12月21日)
》 「ブラジル議会襲撃」フェイクが後押しする暴力の背景とは? (新聞紙学的, 1/9)
》 しょせん他人事ですからって、セリフ減ったねぇ。【勝手にPRシリーズ】 (壇弁護士の事務室, 2022年12月27日)。3巻で 120 万部は、なかなかのものですね。
》 情報法制研究12号に画期的な論文(連載第6回)を書いたのでみんな読んでほしい (高木浩光@自宅の日記, 2022年12月30日)
[引用] また、この論文の帰結から導かれる政策論のエッセンスは、先日発表された「GLOCOM六本木会議」の提言書に簡潔にまとめられているので、こちらもご覧いただきたい。》 内閣官房サイバーセキュリティセンター 「サイバー攻撃被害に係る情報の共有・公表ガイダンス(案)」に関する意見募集 (まるちゃんの情報セキュリティ気まぐれ日記, 2022年12月27日)。1/30 まで。
》 NIST ホワイトペーパー 【プロジェクト概要】サイバー攻撃への対応と回復:製造業のためのサイバーセキュリティ(改訂1版) (まるちゃんの情報セキュリティ気まぐれ日記, 2022年12月24日)
》 「Windows 11 バージョン 22H2」の日本語変換にトラブル 〜Microsoftが認める (窓の杜, 1/10)。回避不能ということみたい。
》 10年以上前の古いAdobe製品は利用不可 〜2023年1月31日でログイン不能に 「Creative Suite 6」や初期版「Creative Cloud」サブスクリプションなどが対象 (窓の杜, 1/10)。世知辛い。
》 2023年3月よりDigicert(デジサート) SSL/TLSサーバ証明書のルート証明書、 および中間CA証明書変更に関するご案内 (ZERONET, 2022年11月30日)
[引用] 1. (再掲)適用予定日関連: (続報) SSL/TLSサーバ証明書のルート証明書、および中間CA証明書変更に関するご案内 (DigiCert, 2022年11月28日)
》 コードサイニング証明書を買う前に 2022年版 コードサイニング証明書 主要価格一覧 (山崎はるかのメモ, 2022年09月21日 更新)。「初心者はセクティゴジャパンがおすすめ」
関連: コード証明書(スタンダードタイプ)の仕様変更に関するお知らせ (セクティゴジャパン, 2022年11月01日 更新)
[引用] ※(注記)2022年11月1日追記》 玄人志向、電源ユニットに誤ったケーブルが付属。交換対応へ (PC Watch, 1/10)
》 なぜ国産旅客機「MRJ」は失敗したのか 現場技術者に非はなかった? 知られざる問題の本質とは (ブースカちゃん / Merkmal, 1/9)
[引用] つまり、MRJが挫折した理由の根本は、そして、MRJ の挫折により、「次」にはまた 0 からやらなきゃならないんだよね。 ノウハウが残らないだろうから。
CVE-2022-45143 Apache Tomcat - JsonErrorReportValve injection (oss-sec ML, 2023年01月03日)
今年最初のAndroidセキュリティ更新が発表 〜深刻度「Critical」の脆弱性も (窓の杜, 2023年01月05日)。patchlevel 2023年01月01日 および 2023年01月05日。
2023年01月06日 付で https://explore.zoom.us/en/trust/security/security-bulletin/ にて公開されたもの。 いずれも最新版では修正されている。窓の杜記事には若干誤記があるので注意。
Zoom Rooms for Windows クライアント (< 5.12.7) に権限上昇を招く欠陥 CVE-2022-36929
Zoom Rooms for Windows インストーラー (< 5.13.0) に権限上昇を招く欠陥 CVE-2022-36930
Zoom Rooms for macOS クライアント (< 5.11.3) に権限上昇を招く欠陥 CVE-2022-36926 CVE-2022-36927
Zoom Rooms for macOS クライアント (< 5.11.4) に、セキュアでない鍵を生成してしまう欠陥 CVE-2022-36925
Zoom for Android クライアント (< 5.13.0) にパストラバーサル可能な欠陥 CVE-2022-36928
あけましておめでとうございます。
》 アイルランド、Metaにまた罰金 GDPR違反で約547億円 (ITmedia, 1/5)
》 宅食「ナッシュ」に不正アクセス、約6000件の顧客情報流出か ランサムウェアに感染 (ITmedia, 1/5)
》 差出人不明の年賀状、大量に誤送付「スマホで年賀状」が謝罪 数十万人超に影響 (ITmedia, 1/5)
[引用] 顧客から受注して発送した年賀状の一部で、 差出人欄に誤って同社の広告を印刷してしまい、誰から送られたか分からない状態で届けてしまったこれは、シャレにならんなあ......。
》 "MFAの標準搭載"がなぜベンダーに求められるのか――、ISRが解説 (クラウド Watch, 2022年12月21日)
》 「Slack」のソースコードが流出 〜顧客データは無事、サービスにも影響なし 社員の「GitHub」トークンが盗まれる (窓の杜, 1/6)。元ねた: Slack security update (Slack, 2022年12月31日)
[引用] On 29 December 2022, we were notified of suspicious activity on our GitHub account. Upon investigation, we discovered that a limited number of Slack employee tokens were stolen and misused to gain access to our externally hosted GitHub repository. Our investigation also revealed that the threat actor downloaded private code repositories on 27 December. No downloaded repositories contained customer data, means to access customer data or Slack’s primary codebase.notify したのが誰なのかは記載されていないのだけれど、文脈からして GitHub 運営元なのかな。 「a limited number of Slack employee tokens」が奪われたということなので、単数ではなさそう。
》 Windows Server 2012/R2のサポートは今年10月まで、有償サポート「ESU」を3年間提供 (窓の杜, 1/5)
》 古い「Microsoft Office」はExchange/SharePoint/OneDriveへ接続不能に? Microsoftが注意喚起 「Office 2016」や「Office 2019」は今年10月まで (窓の杜, 1/6)。移行圧力ですか。
》 「Firefox」が「IE 11」と誤認されてしまう悲劇発生......開発チームが対応に追われる 期間限定でUA文字列が「凍結」 (窓の杜, 1/6)
Linux kernel 5.15 〜 5.19 の ksmbd に複数の欠陥があり、 remote から無認証で任意のコードを実行できる等の状況が発生する。
CVE-2022-47938。 Linux kernel 5.15 〜 5.19 系の ksmbd に欠陥。 5.19.2 で修正。 CVSS 3.1 Base Score: 6.5
Linux Kernel ksmbd Out-Of-Bounds Read Denial-of-Service Vulnerability ZDI-22-1689 / ZDI-CAN-17818 (ZDI, 2022年12月22日)。要認証で DoS。
CVE-2022-47939。 Linux kernel 5.15 〜 5.19 系の ksmbd に欠陥。 5.19.2 で修正。 CVSS 3.1 Base Score: 9.8
Linux Kernel ksmbd Use-After-Free Remote Code Execution Vulnerability ZDI-22-1690 / ZDI-CAN-17816 (ZDI, 2022年12月22日)。無認証で RCE。
CVE-2022-47940。 Linux kernel 5.15 〜 5.18 系の ksmbd に欠陥。 5.18.18 で修正。 CVSS 3.1 Base Score: 8.1
(削除)
Linux Kernel ksmbd Out-Of-Bounds Read Information Disclosure Vulnerability
ZDI-22-1691 /
ZDI-CAN-17817
(ZDI, 2022年12月22日)。要認証で情報漏洩。
(削除ここまで)
これは ZDI 発ではない
CVE-2022-47941。 Linux kernel 5.15 〜 5.19 系の ksmbd に欠陥。 5.19.2 で修正。 CVSS 3.1 Base Score: 7.5
Linux Kernel ksmbd Memory Exhaustion Denial-of-Service Vulnerability ZDI-22-1687 / ZDI-CAN-17815 (ZDI, 2022年12月22日)。無認証で DoS。
CVE-2022-47942。 Linux kernel 5.15 〜 5.19 系の ksmbd に欠陥。 5.19.2 で修正。 CVSS 3.1 Base Score: 8.8
Linux Kernel ksmbd Heap-based Buffer Overflow Remote Code Execution Vulnerability ZDI-22-1688 / ZDI-CAN-17771 (ZDI, 2022年12月22日)。要認証で RCE。
CVE-2022-47943。 Linux kernel 5.15 〜 5.19 系の ksmbd に欠陥。 5.19.2 で修正。 CVSS 3.1 Base Score: 8.8
(削除) これは ZDI 発ではない (削除ここまで)
Linux Kernel ksmbd Out-Of-Bounds Read Information Disclosure Vulnerability
ZDI-22-1691 /
ZDI-CAN-17817
(ZDI, 2022年12月22日)。要認証で情報漏洩。
致命的なのは CVE-2022-47939。 Linux kernel 5.15 〜 5.19 系の欠陥なので、該当ディストリはそれほど多くない模様。
CVE-2022-47939: Critical RCE Vulnerability in Linux Kernel (Tenable Blog, 2022年12月29日)。vuln と記載されているのは Debian Unstable、Ubuntu jammy、Ubuntu upstream。 記事では Ubuntu jammy は pending になっているが、 https://ubuntu.com/security/CVE-2022-47939 によるとリリース済とされている。
関連:
Re: Details on this supposed Linux Kernel ksmbd RCE (oss-sec ML, 2022年12月23日)
Re: Details on this supposed Linux Kernel ksmbd RCE
(oss-sec ML, 2022年12月31日)。上記 (削除) 訂正前 (削除ここまで) 訂正後、
の件。