Last modified: Tue May 2 13:12:48 2023 +0900 (JST)
このページの情報を利用される前に、注意書きをお読みください。
ビッグモーター前副社長 損害保険ジャパン前身企業に1年余在籍 (NHK, 7/27)。もともとは日本興亜損保の社員でしたと。
「入庫1件に対して自賠責5件」ビッグモーターが損保に100億近い水増し請求 ”共犯関係”の実態 (FRIDAY / Yahoo, 7/28)
ビッグモーター 損害保険ジャパンが代理店契約終了へ (NHK, 7/29)
損保とビッグモーター、自賠責保険がもたれ合いの温床に (日経, 7/29)
福井県内のビッグモーター、自動車保険で契約捏造か 複数確認、金融庁が実態調査へ (福井新聞, 7/30)、 ビッグモーター、自動車保険で虚偽契約か 福井の店舗で (日経, 7/30)
ビッグモーターの口コミ〝サクラ疑惑〟で大荒れ「開店前に高評価」「観光地並み投稿数」 (東スポ, 7/31)
ビッグモーター八戸店の口コミ削除 出店前に「フレンドリーな接客」 (産経, 7/28)。中古車情報サイト「カーセンサー」への口コミ。 削除したのはサイト運営元のリクルート。
ビッグモーター不正横行の背景に「ロイヤルファミリー」か 現役社員「パワハラの域を超えてる。脅し」【バンキシャ!】 (日テレ, 7/31)
ビッグモーター兼重宏行・前社長の“ゴルフ冒涜”発言に取引先「あの社長らしい発言。彼は大のゴルフ好きです」 (週刊ポスト / マネーポスト WEB / Yahoo, 7/31)
退職直前に“地方転勤”を言い渡され…ビッグモーター元社員が独白「黒すぎる企業の実態」 (現代ビジネス, 7/28)
人材流出、流動化、実態の表面化。
ビッグモーター、問題が起きたのに「退職者が6人」なのはなぜ…社員が語る「社内で起きている大騒動」 (現代ビジネス, 7/29)
ヤバいのはビッグモーターだけじゃない?…社員の「大規模転職」で出てくる「懸念」と「業界の闇」 (現代ビジネス, 7/29)
「ビッグモーターでやっていた不正を他でもやらかす可能性が出てくる。成績の極端に良かった奴は、何かしら不正をやっていたようなのも多いし、同じことを他でも続けるんじゃないかと。 だって正直、こういう不正はビッグモーターだけじゃないので。車のダメージを増やして修理代を水増しなんてのは、他の業者でも見られること」
街路樹方面
東京都 ビッグモーター店舗前の街路樹調査 8店舗で街路樹枯れるなど確認 今後土壌調査も (TBS, 7/28)
ビッグモーター 街路樹枯死、1年前閉店の跡地周辺でも 広島 (毎日, 7/29)
ビッグモーター 店舗前の街路樹枯れる 全国18都道府県で確認 (NHK, 7/28)
道路脇の「街路樹」誰のもの? ビッグモーター"除草剤"事件で注目 邪魔で無くせはNG、「泣き寝入り」の実態も (乗りものニュース, 7/30)。街路樹は「道路の一部」。
ビッグモーター糸満店、開店時に街路樹10本を移植 道路管理者が許可し、同社が費用負担 南部国道事務所「問題ない」 (琉球新報, 7/28)。他店舗でもこのようにすべきだった。
海保で 3 機運用中、さらに 1 機追加予定
海上保安庁 ことし運用開始の無人航空機 新たに3機以上配備へ (NHK, 2022.12.05)
関係者によりますと、海上保安庁は早ければ来年4月にも3機体制とし、さらにその後、1機以上配備する方向で調整を進めているということです。
海上保安庁、無人機シーガーディアンの3機運用開始 24時間365日監視可能に (AviationWire, 5/19)
シーガーディアンを一般初公開/海自八戸 (東奥日報, 7/16)。「海自八戸」となっているが、機体は海保のもの。
海自でも試験運用を開始。海保と同じく八戸航空基地にて。
大型無人機の試験運用公開=警戒監視での有効性検証―海自 (時事, 6/21)
〝海の無人機〟を八戸基地に集約 海自が「指示」出し民間が「運航」する画期的な運用 MQ―9B「シーガーディアン」 (菊池雅之 / ZAKZAK, 7/7)
初公開 自衛隊の“無人機”試験部隊 その能力は? (NHK, 7/27)。 ひどいタイトルですね。 自衛隊は既にグローバルホークやスキャンイーグル2などの UAV を保有しているのですが。
3機そろった! 自衛隊向け最後の無人偵察機「グローバルホーク」三沢基地に到着 (乗りものニュース, 7/2)
陸自の最新無人偵察機「スキャンイーグル2」の実力に迫る (mamor, 2021.10.13)
「TBS『news23』に裏切られた…」JAの「自爆営業」を告発したら「身バレして退職」元職員の悲痛な訴え (窪田 新之助 / 現代ビジネス, 5/1)
【続報】TBS『news23』の「姑息」な隠蔽工作…JA自爆営業の告発者に記者が「記事差し止め」を慌てて要求 (窪田 新之助 / 現代ビジネス, 5/3)
「ずさんなインタビュー映像のせいで証言した農協職員が退職」…農協「自爆営業」問題で明らかになったTBS『news23』の失墜 (窪田 新之助 / 現代ビジネス, 5/19)
これは最悪…!「news23」“身バレ報道”、「決死の内部告発」でJA職員が受けた「おぞましき仕打ち」の中身と「TBS敏腕記者たちの哀しき末路」 (窪田 新之助、藤岡 雅 / 現代ビジネス, 7/31)
TBSの“黒い”「抗議書」を受け取ったジャーナリストは戦慄した…!「news23」“身バレ報道”、その後の顛末とTBSの「原因究明、謝罪なし」に見る「泥沼の危機」 (窪田 新之助、藤岡 雅 / 現代ビジネス, 7/31)
》 2024年に無人機工場が完成、ロシア軍に供給される無人機の規模は桁違い (航空万能論 GF, 7/28)。安価で確実なドローン迎撃システムが必要。
》 人道物資の盗難が相次ぐウクライナ、約1万個の米軍応急処置キットが消える (航空万能論 GF, 7/28)
》 自動車運搬船「フリーマントル・ハイウェイ」火災事故方面 (7/26)
M.V. FREMANTLE HIGHWAY 火災事故に関して (正栄汽船, 7/26)。「現地時間7月25日23:45 (日本時間7月26日06:45) に、オランダ沖にて船艙から火災が発生」。
FREMANTLE HIGHWAY (vesselfinder.com)
車3千台超積載、日本の自動車運搬船が火災 1人死亡 オランダ沖で (朝日, 7/27)
EV火元か、自動車船火災 1人死亡、日本企業運航―オランダ沖 (時事, 7/27)
》 Twitter、Google以外の検索エンジンを締め出しへ? robots.txtが大幅改変され話題に (やじうま Watch, 7/28)
》 富士通に欠けていた「本質的な点検」 マイナ証明書の誤発行問題 (朝日, 7/15)。上原哲太郎氏にインタビュー。 朝日の場合、紙面にはちょろっとしか書けない取材内容を、デジタル版には大きく書いたりしているみたい。
証明書発行のリクエストは並列に(同時に)証明書発行サーバーに届く可能性がありますが、富士通はそれを順番に並べてから一つずつ処理する仕組みにしていたようです。これを「逐次化」と呼びますが、これを前提にしていると、逐次化に失敗した時に致命的なバグが出てしまいます。
今回、各自治体で起きたバグはさまざまな理由で逐次化に失敗したために起きたと見ています。本来は全体を並列のまま処理できるようにするべきであり、私の聞いた限りでは、同業他社はそのように設計しているようです。
》 中国にマイナンバーと年金情報が「大量流出」していた…厚労省が隠蔽し続ける「不祥事」の全容 (現代ビジネス, 7/26)。SAY 企画の件のつづき。この件かな:
水島藤一郎の経歴や学歴は?情報流出問題での曖昧答弁が話題に! (そらてんにっき, 2021.02.21)
長妻昭さんが突然暴露「氏名・住所・マイナンバー・配偶者の氏名・所得の紐付け情報が中国のネットから見られる」に水島藤一郎理事長「情報の内容は正しい」3年前の日本年金機構・中国再委託の延長戦か (ニュースサイト宮崎信行の国会傍聴記, 2021.02.17)
第204回国会 予算委員会 第12号(令和3年2月17日(水曜日)) (衆議院, 2021.02.17)。ここから:
○長妻委員 実態把握のみならず、本当に分析をして、全省庁を挙げて、こういうことが起こらないように是非取り組んでいただきたいと思います。
次に、年金の問題に行きますけれども、昨日、厚生労働省の年金局から二つの新たな資料をいただきました。今まで明らかにされていなかった資料でございますけれども、一つは、今皆さんにお配りしているメールでございます。
これは、日本年金機構の法令等違反通報窓口に来た、どなたかから来たメールの実物でございますが、今日は年金機構の理事長、水島理事長にも来ていただいておりますので、このメールについて、ここに、マイナンバーが流出しているということで、具体的に個人の方のマイナンバーの番号も書いてあるんですが、このマイナンバーの番号は本物の番号でございますか。
》 Google Public DNS has enabled case randomization globally (dns-operations ML, 7/26)
》 TwitterのアイコンをXから鳥に戻すchrome拡張機能をつくりました (きつねこの週刊デイリー寿司ニュース, 7/24)。 X の識別性が悪すぎるので、入れてしまった。 (fixed: 望月さん情報ありがとうございます)
》 ビッグモーター前社長の他人事発言が、東京裁判「元陸軍大将の釈明」と重なる理由 (窪田順生 / ダイヤモンド ONLINE, 7/27)
(前略) 筆者が不祥事企業と日本軍を重ねるのにイデオロギー的な観点はまったくない。
ごくシンプルに「ルーツ」が同じだからだ。
実は、年功序列、定期異動、定時出社、上司の命令は絶対など、多くの日本人が「日本企業特有の文化」と信じていることのほとんどは、戦時体制下に軍隊の指導によって社会に定着したものである。
》 ゴリ押し“EVシフト”が失敗しそうな裏事情、米紙が「悪者トヨタ」叩きをやめたワケ (岩田 太郎 / sbbit.jp, 7/27)。 紹介されているのは NYTimes のオピニオン記事なので「米紙が……やめた」は言いすぎなのだけど、ようやく気づきましたか感はある。
》 クリストファー・ノーラン監督の『オッペンハイマー』を日本で今すぐ公開するべき理由 (冷泉彰彦 / ニューズウィーク日本版, 7/26)。ノーランの新作を上映しない理由なんて 1mm もないはずなのだが。
》 飯間浩明さんによるTwitterブランド変更の考察 (togetter, 7/27)
関連: メタ 3か月決算 ネット広告収入が回復傾向で7期ぶり増益 (NHK, 7/27)。「旧フェイスブックのメタ」「旧ツイッターのX」。
》 「古よりロゴマークから鳥を取り去った者は滅ぶと言われておる」→参考例が続々集まる (togetter, 7/25)
》 〈札幌すすきの・首切断逮捕〉動機は不同意性交⁉「瑠奈は男が大っ嫌いなんさ。相手が女装してたから油断してホテルに…」祖父が語った顛末と逮捕当日の浩子容疑者との電話「2度と現れないと言ったのに現れたから…」 (集英社オンライン / Yahoo, 7/25)。 どうにもよくわからない事件だなと思っていたのだが、 一読して、 そういうことだったのか感が強い。
「俺は2人に『なんでそのときに警察に言わなかったんだ』と厳しく言ったんだけど『本人がもうやらん、二度と姿を現さんって言うから表に出さず自分たちで決着つけた』と。修も奥さんも、それで安心してたんだろう」
結果からすると、ほんとこれ、となってしまうよなあ……。
ModSecurity v3: DoS Vulnerability in Four Transformations (CVE-2023-38285) (Trustwave, 2023.07.25)。戸井さん情報ありがとうございます。 ModSecurity 3.0.10 で修正。ModSecurity v2 には影響しない。
v3.0.10 (GitHub SpiderLabs / ModSecurity)
》 Forthcoming OpenSSL Releases (OpenSSL, 7/25)。8/1 に OpenSSL 3.1.2 / 3.0.10 / 1.1.1v リリース予定だそうです。 セキュリティ修正あり (Low)。iida さん情報ありがとうございます。
損保ジャパン ビッグモーターに37人出向 “不正知らず”調査へ (NHK, 7/25)
損保ジャパン 契約者にビッグモーター工場紹介、不正把握後に再開 (毎日, 7/25)
「ビッグモーターで不正指示ある」損保ジャパン、出向者報告後も取引 (朝日, 7/25)
金融庁、ビッグモーターと損保各社に報告命令へ 損保ジャパンには立ち入り検査の実施で調整 (東洋経済, 7/25)
ビッグモーター側の自主調査によって、関東地域の4つの工場で水増し請求が発生していることが明確になったのは、2022年6月末のこと。
(中略)
自動車保険の販売代理店でもあるビッグモーターと、それぞれ年間数十億円の取引がある3社が一丸となり、不正請求に対して毅然と対応するかに思われた。
だが、7月中旬になると風向きが大きく変わる。
損保ジャパンが不正請求問題について組織的関与はないと早々に結論づけ、突如として「幕引きするかのような対応をとりはじめた」(大手損保役員)からだ。
実はその7月中旬、ビッグモーターの兼重社長は損保ジャパンの首都圏営業担当の役員を訪ねている。その面談を境に、ビッグモーターへの対応方針が大きく変わったとみられる。
また、損保ジャパンは同時期に金融庁に対して水増し請求問題について任意報告している。
しかしその内容が、自社に都合よく矮小化し誤魔化したものになっていたことも、金融庁の不興を買っている。
》 ビッグモーター和泉伸二新社長、さっそく証拠隠滅を指示。 「社内の連絡ツールとして使用していたLINEのアカウントを会社支給の携帯電話から削除するよう、全社員に通知した」。
ビッグモーター「改革第一弾」はLINE削除 次期社長から全社員に (朝日 / Yahoo, 7/25)
ビッグモーター 改革の第一弾はLINE削除 新社長が通知 (TBS, 7/26)
「工場長からの指示あった」が「指示なかった」に…ビッグモーター調査で証言を書き換え 新社長からは“LINE削除”の通知も (FNN, 7/26)
ビッグモーター、ビジネス用 LINE である「LINE WORKS」ではなく、通常の LINE を使っていた模様。ってちょっと待って、グループ売上高6,000億円、従業員数6,000名の会社 だよね?
LINE WORKSとLINEの機能比較 (mobileworkplace.jp)
<独自>ビッグモーター社長、全店長にLINEでメディア批判「決めつけて報道」 (産経, 7/20)
ビッグモーター、「社長のLINE流出」必然だった訳 「現代的な広報センス」の欠如は今やリスクだ (東洋経済, 7/25)
LINE グループでのパワハラに関してビッグモーターを4提訴
LINEで暴言「店長おりろ」 ビッグモーターを提訴 (共同 / Yahoo, 7/25)
グループLINEで「店長降りろタコ」…ビッグモーター元店長がパワハラ訴訟起こしていた 訴え後に事故死、両親が引き継ぐ (FNN, 7/26)
》 米海兵隊 MV-22 墜落事故 (2022.06.08) 方面
米海兵隊「オスプレイ」墜落の詳細が明らかに 原因はクラッチの欠陥!? 陸上自衛隊も使用中の機体 (乗りものニュース, 7/25)
令和4年6月に米国で発生したMV-22オスプレイ墜落事故に関する米海兵隊のプレスリリースについて (立川市, 7/24)
【深掘り】オスプレイ事故報告で「政府の言う安全性」の崩壊が現実に エンジントラブル発生時の安全機構が働かず 公表後、日米で対応に違い (琉球新報, 7/26)
オスプレイには2つのエンジンが搭載されており、片方のエンジンが止まった時にも、もう片方のエンジンから動力を供給する仕組みがある。
だが、今回の事態ではその安全機構も故障する「複合緊急事態」が発生した。片方の翼で起きたHCEが反対側にも連鎖する可能性も記述され、そもそも安全機構が働きにくい構造が浮かぶ。
報告書によると、HCEは800時間以上飛行した特定の部品を有する機体で発生する傾向がある。過去の事故や危険時案を調べなおした結果、10年3月から22年8月の間に、計15件のHCE事象が発生していた。
オスプレイは12年の県内配備前からエンジン停止時にもローターが回転し軟着陸する「オートローテーション」機能が働かないと指摘されてきた。従来のヘリには備わっている機能であり、市街地上空も飛ぶ普天間飛行場への配備に当たって安全性が問われ、配備反対の世論が広がった。
これに対し防衛省が12年に出した解説書は「2つのエンジン出力が完全に停止する状況はほとんど考えられない」と安全性を強調した。
だが、今回の事故ではエンジントラブル発生時の安全機構が働かず、当時の懸念が現実のものになったとみられる。
Marine Corps Releases Command Investigation Into the MV-22B Osprey Mishap in California on June 8, 2022 (US Marines, 7/21)。事故報告書はこちらから。
PFAS漏出問題、横田基地の消火剤は2022年6月にも漏出 防衛省が公表 原因や量などは「確認中」 (東京, 7/25)
PFAS汚染地域での血液検査 環境省の対応案「慎重に検討すべきだ」に専門家の指摘相次ぐ (東京, 7/25)
汚染地域での住民の血液検査について、環境省が「慎重に検討すべきだ」との対応案を示したことに対し、専門家からは「後ろ向きな表現だ」などの批判が上がった。 (中略) 専門家委員の京都先端科学大の高野裕久教授(環境医学)は「『慎重に』という言葉はいるのか。前向きか、後ろ向きかが違ってくる」と指摘。京都大の原田浩二准教授(環境衛生学)は「自治体が『(血液検査を)あまりやらなくてよい』と判断する材料になる恐れがある」と述べた。
血中濃度調査、全国規模に拡大へ 有機フッ素化合物で環境省方針 (共同 / 東京, 7/25)
<社説>PFAS漏出 汚染広げた公表の遅れ (東京, 7/26)
》 「ゆっくり茶番劇」騒動がほぼ決着 無効審決が出る (ITmedia, 7/24)。「7月12日付で無効審決が出た」。
》 日本維新の会代表、維新の正体が第2自民党であることを暴露。 特定政党の消滅を希望するなどファシムズ傾向も現わに。
維新は「第2自民党でいい」 馬場代表が発言、立憲と共産は反発 (朝日, 7/24)
維新は「第2自民党でいい」「共産なくなったらいい」 馬場氏が発言 (朝日, 7/24)
日本維新の会は「第2自民党」だった 馬場伸幸代表が異例の「自白」…その狙いは何なのか? (東京, 7/25)
維新 馬場代表「第1自民党と第2自民党が改革競い合うべき」 (NHK, 7/23)
まぁ、しょせんは統一協会だしなあ。
【速報】馬場共同代表・藤田幹事長らが「旧統一教会」と接点 維新が調査結果を公表 (MBS, 2022.08.02)
ツイート
維新が共産系の関連団体を口撃する理由がわかる話。
— ケッケロ (@k66sergeant) July 24, 2023
つまり、追求されたくないだけ。 https://t.co/Swe4JqgngV
維新が共産党がなくなって欲しいと言うのは、これかなぁ?
— ピース薔薇🌹💙💛 (@peace9jyo) July 24, 2023
維新は赤旗と共産党が怖いんやなぁ。 https://t.co/mlzKuFsjZL
》 かっぱえびせん、有毒アリ対策に効果? 水際で重宝…カルビーの驚き (朝日, 7/23)。この記事では「コカミアリ」に対して「かっぱえびせん」が効くような書かれ方になっているのだが、 毎日の記事ではそうではないとされているんだよなあ。
新たな侵入者「コカミアリ」とは? 1~2ミリで見つけづらく強い毒 (毎日 / Yahoo, 7/22)
Q どうやって監視、調査しているの?
A ヒアリの場合は、環境省などが全国の港湾で定期的に調査をしており、コカミアリも岡山県から委託を受けた専門業者が発見しました。疑わしいアリが見つかり、コカミアリやヒアリと確認された場合は毒餌を設置して、駆除を進めます。
調査の際はおびき寄せるために、餌として身近な食品も使うそうです。コカミアリは植物性脂肪と糖分を含むピーナツバターが好物で、環境省が水島、神戸両港で実施した調査でも使われました。ヒアリの場合は、スナック菓子の「かっぱえびせん」が誘引効果が高く、回収もしやすいのでよく使われます。
さらにぐぐると、朝日自身が「コカミアリの好物はピーナツバター」という記事を出してるのを発見。なんじゃこりゃ。
【そもそも解説】国内初侵入のコカミアリ かまれると激痛、対策は? (朝日, 7/19)
いろいろ (2023.05.18) Trend Micro Apex Central、Apex One、Apex One SaaS
アラート/アドバイザリ:Trend Micro Apex One 及びTrend Micro Apex One SaaSで確認した複数の脆弱性について(2023年5月) (トレンドマイクロ, 2023.05.17) で修正された欠陥の 1 つ CVE-2023-30902 はウイルスバスター クラウドにも影響していたようで。
アラート/アドバイザリ:ウイルスバスター クラウドの脆弱性について(CVE-2023-30902) (トレンドマイクロ, 2023.04.27)。 ウイルスバスター クラウド 17.7.1903 以降で修正されている。
ウイルスバスター クラウド 17.0 は既に EOL なのですね: トレンドマイクロ 個人向け製品のサポート終了案内 (トレンドマイクロ)
iOS / iPadOS, watchOS, tvOS, macOS, Safari 更新版出ました。 0-day 2 件の内 1 件は、 先日の RSR で修正された WebKit の件 CVE-2023-37450 ですが、もう 1 件は Kernel CVE-2023-38606 です。
About the security content of iOS 16.6 and iPadOS 16.6 (Apple, 2023.07.24)
About the security content of iOS 15.7.8 and iPadOS 15.7.8 (Apple, 2023.07.24)
About the security content of watchOS 9.6 (Apple, 2023.07.24)
About the security content of tvOS 16.6 (Apple, 2023.07.24)
About the security content of macOS Ventura 13.5 (Apple, 2023.07.24)
About the security content of macOS Monterey 12.6.8 (Apple, 2023.07.24)
About the security content of macOS Big Sur 11.7.9 (Apple, 2023.07.24)
About the security content of Safari 16.6 (Apple, 2023.07.24)
Edge 115.0.1901.183 だそうです。
》 ポーランド国防相、国内の修理拠点がウクライナ軍のレオパルト2受け入れを開始 (航空万能論 GF, 7/23)。「ブラスザック国防相の投稿に添付された写真がA4なので「ポーランド単独の運営=A4のみ対応」を示唆している可能性が高い」。あらら。
》 豪軍、陸自が12式地対艦誘導弾の実弾射撃をタリスマン・セイバーで実施 (航空万能論 GF, 7/22)。「陸上自衛隊は持ち込んだスキャンイーグルIIで標的データを収集し、演習海域に設置された無人標的へミサイルを命中させたらしい」。
》 無人機戦力の大増強に乗り出した台湾、2年以内に3,200機以上を国内調達 (航空万能論 GF, 7/22)。「ドローンの軍事利用において台湾は中国に危険なほど遅れをとっている」「中国軍とのギャップを早急に埋めるには何千機ものドローンが直ぐに必要」。
秋田市・新城川の堤防崩壊 桜並木の道路、湾のようにえぐれる (秋田魁新報, 7/20)
大雨の土木関係被害52億円超に 河川や道路、今後も増える見込み (秋田魁新報, 7/24)。土木関係が 52 億、農業被害が 20 億。 「秋田市が調査中のため、さらに額が増える見込み」。
秋田市の大雨住宅被害、判明1100世帯に 200人体制で調査進める (秋田魁新報, 7/24)
秋田中央道路、通行再開見通し立たず 地下トンネルが大雨で冠水 (毎日, 7/24)。排水すら完了していない。「水がなくなった後も火災探知機や監視カメラ、消火・換気設備などの正常作動の確認が必要なため、まだ通行再開の時期を見通せていない」。
秋田中央道路、通行再開は今月末以降か 今も約300mの区間で冠水 (秋田魁新報, 7/23) では「28日まで排水を完了できる見込み」だが「秋田竿燈まつり(8月3~6日)までに完全に対面通行に戻すのは無理だと思う」と。
生活物資の配給と生活相談、8月中旬まで継続 秋田の大雨災害で (秋田経済新聞, 7/24)
》 穀物協定を破棄したロシア、3日連続でオデーサにミサイル攻撃を実施 (航空万能論 GF, 7/20)
確かにKh-22とK-300Pを差し引いた迎撃率は66%なので47%と比べればマシだが、1月から6月までの平均迎撃率=77%(1月89%、2月63%、3月64%、4月86%、5月88%、6月76%)と比較すると10ポイント以上も低く、この結果は首都と地方都市の格差=パトリオットシステムやSAMP/Tの有無に起因している可能性が高い。
》 Apology and Update on Recent Accidental Data Exposure (VirusTotal, 7/21)
》 パスワードなしでの認証を可能にする「パスキー」技術にはわなが潜んでいる、YubiKeyなどのハードウェア認証デバイスを利用している場合は注意 (gigazine, 7/21)
パスキーの認証の仕組みには、クライアント側に鍵を保存しない方法と、クライアント側に鍵を保存する方法の2種類が存在しています。
YubiKey とかはストレージがよわよわなので、「クライアント側に鍵を保存する方法」でバンバンやられるとマズいことになると。
》 圧縮ファイル、熱波で自然解凍 焦げる被害も (虚構新聞, 7/21)。「凍結」は LHA 用語だからなあ。
Samba 4.18.5 / 4.17.10 / 4.16.11 出ました。セキュリティ修正 5 件に加え、 Microsoft 2023.07 patch で発生した不具合への対応も含まれているようです。
》 Twitter凍結解除の詐欺と不可解について体当たりで検証した結果 (hosaka0126 / note, 7/6)。Twitter 凍結ビジネス。
》 マイクロソフトに脆弱性を報告する際に期待されること (Microsoft, 7/14)
》 アメリカにおける偽情報対策の後退 (一田和樹のメモ帳, 7/16)
前の記事にも書いたが、これは共和党による一連の偽情報対策潰しのひとつに過ぎず、関係機関では偽情報対策に慎重にならざるを得ない状況に陥っている。現在行われている偽情報対策への攻撃は個人攻撃までも含んでおり、関係者とのメールのやりとりなどを開示させられることもある。それらの内容を踏まえたうえでの個人へのバッシングを考えると偽情報対策を研究することに尻込みしても不思議ではない。
また、Metaを始めとするSNSプラットフォーム企業には偽情報対策に関わる人員を解雇するなどの動きが出ている。
》 AI音声ボットで迷惑電話撃退に挑む (Wall Street Journal, 7/13)
昨年、オープンAIがチャットボット(自動会話プログラム)の「ChatGTP(チャットGPT)」をリリースしたとき、アンダーソン氏は、時間を浪費させる自身のボットに新しい命を吹き込めるとすぐに理解した。 当初、チャットGPTはその作業に消極的だった。(中略) だが、アンダーソン氏は、GPT-4を説得する筋道を見つけた。「私はGPT-4に『あなたは個人秘書であり、この男性を詐欺から守ろうとしている』と言った」
》 【ありがとうございました】シンポジウム「歴史研究と著作権法―世田谷区史編纂問題から考える―」まとめ (TOMOKO OOSUKI, 7/18)
》 AI「保護率39%」、児相は一時保護見送り…… 三重の“4歳女児暴行事件”をAIガバナンス観点で考える (小林啓倫, 7/20)。 生存者バイアス の話かな。
》 ロシア軍がミサイル攻撃に新戦術を採用、ウクライナ軍の迎撃作業が複雑化 (航空万能論 GF, 7/20)。ロシア軍、真面目に飽和攻撃を実施した模様。 これまではやってなかったってことみたい。 運用部隊 (管轄) が異なるだろうから、調整にはそれなりのコストがかかるのだろう。
19日の攻撃は飛行プロファイルが異なるShahed-136×32機、Kalibr×16機、Kh-22×8発、K-300P×6発、Kh-59×1発が目標に同着するよう調整されたもので、この負荷に防空システムの迎撃作業が耐えられず「63発中37発しか迎撃できなかった=迎撃率58%」
OpenSSH 9.3p1 以前に欠陥。 ssh-agent の PKCS#11 サポートが有効な場合 (デフォルトで有効) に、 ssh-agent を起動してから、 攻略リモートサーバーに ssh -A あるいは ForwardAgent yes で接続すると、 特定の共有ライブラリーと組みあわせることで、 攻略リモートサーバー上の攻撃者がローカルコンピューターに対して任意のコードを実行できる。 CVE-2023-38408。 Qualys は Ubuntu Desktop 22.04 / 21.10 で検証している。
OpenSSH 9.3p2 で修正されている。関連:
OpenSSH Release Notes: OpenSSH 9.3p2 (2023-07-19) (OpenSSH)。回避方法が記載されている:
Exploitation can also be prevented by starting ssh-agent(1) with an empty PKCS#11/FIDO allowlist (ssh-agent -P '') or by configuring an allowlist that contains only specific provider libraries.
あと 9.3p2 での変更点:
ssh-agent(8): the agent will now refuse requests to load PKCS#11 modules issued by remote clients by default. A flag has been added to restore the previous behaviour "-Oallow-remote-pkcs11".
SSHのForwardAgentでローカルPCの鍵をサーバで使う (karakaram-blog, 2022.08.15)。ssh -A とか ForwardAgent yes とかの解説。わかりやすい。
多段SSHはProxyJumpと-Jオプションで (karakaram-blog, 2022.08.20)。ssh -J とか ProxyJump とかいうのがあるのですね。 今回はじめて知った。
iida さん情報ありがとうございます。
》 韓国メディア、カナダ海軍の潜水艦調達は韓国と日本の一騎打ちになると予想 (航空万能論 GF, 7/15)。関連:
カナダ次期潜水艦候補で「日本vs韓国」の直接対決 防衛産業守る大型案件、政府は防衛装備移転三原則見直し検討 (世良光弘 / zakzak, 5/25)
西側の兵器庫・韓国の興隆に日本は太刀打ちできるか? (吉永ケンジ / Wedge ONLINE, 6/28)
》 8500人超の作家が「AIのトレーニングに人間の作品を無断使用するな」とOpenAIやMetaなどのAI開発企業に求める公開書簡に署名 (gigazine, 7/19)
AI開発企業はトレーニングデータの使用がフェアユースに該当すると説明していますが、全米作家協会は、芸術家のアンディ・ウォーホルがリン・ゴールドスミスの写真を使用した「プリンス・シリーズ」を巡る最高裁判所の判決でも商業性が問題視されたように、開発されたAIは高い商業性を有しておりフェアユースに反していると主張しています。また、「違法に収集された作品のコピーをフェアユースとして許す裁判所はありません」と述べ、現状のAI開発には問題があると訴えました。
》 Intel、NUC事業をASUSに譲渡 (PC Watch, 7/19)
Citrix NetScaler ADC / NetScaler Gateway で RCE 0-day だそうです。
Citrix ADC and Citrix Gateway Security Bulletin for CVE-2023-3519, CVE-2023-3466, CVE-2023-3467 (Citrix, 2023.07.18)。 CVE-2023-3519 が 0-day。
Note: NetScaler ADC and NetScaler Gateway version 12.1 is now End Of Life (EOL) and is vulnerable.
12.1 は 2023.05.30 でサポート終了した模様です。
回避方法はなく、対応版に更新するしかないみたい。
脅威に関する情報: 顧客管理下の Citrix サーバーにリモートコード実行の脆弱性 (CVE-2023-3519) (paloalto networks, 2023.07.30)
Adobe 方面 (InDesign, ColdFusion) (2023.07.12)
ColdFusion、APSB23-40 に続いて APSB23-41 も出てました。 しかも 0-day。 もちろん Priority: 1。
Security updates available for Adobe ColdFusion | APSB23-41 (Adobe, 2023.07.14)。 CVE-2023-38203、 Priority: 1。 サポート終了のはずの ColdFusion 2018 用の更新も用意されています。
Adobe ColdFusion vulnerabilities exploited to deliver web shells (CVE-2023-29298, CVE-2023-38203) (helpnetsecurity.com, 2023.07.18)。 CVE-2023-29298 は APSB23-40 で修正されている 3 件の内の 1 つ。
To make matters worse, Rapid7 discovered on Monday that the fix for CVE-2023-29298 is also incomplete, and that a “trivially modified exploit” still works against the latest version of ColdFusion (the one released on July 14).
APSB23-40 における CVE-2023-29298 の修正は不完全なのだそうです。
Oracle Critical Patch Update Advisory - July 2023 出ました。
Oracle Virtualization Risk Matrix。4 件のセキュリティ欠陥を修正。
Oracle Java SE Risk Matrix。 9 件のセキュリティ欠陥を修正。
JDK Releases (java.com)
JDK 20.0.2 Release Notes (oracle.com, 2023.07.18)。非 LTS です。
JDK 17.0.8 Release Notes (oracle.com, 2023.07.18)
JDK 11.0.20 Release Notes (oracle.com, 2023.07.18)
JDK 8u381 Release Notes (oracle.com, 2023.07.18)
OpenJDK Vulnerability Advisory: 2023/07/18 (OpenJDK, 2023.07.18)
Download Liberica JDK (bell-sw.com)
Amazon Corretto (GitHub)
Chrome 115.0.5790.98 (Linux / Mac) および 115.0.5790.98/99 (Windows) が stable に。 20 件のセキュリティ修正を含む。
》 当社サーバへの不正アクセスに関するご報告とお詫び (せんごくネット通販, 7/18)。 告知当初は流出したのはご購入者様のメールアドレスのみとしていたが、 詳細調査により、それだけではなかったことが判明した模様。
長期にわたり、継続的な不正アクセスがあった
他にも漏洩した情報があった。
個人データが漏えいしたお客様および関係者の皆様には、お詫びとお知らせ(漏えい対象のデータ項目を記載したもの)を個別に順次ご連絡申し上げます。
私のところに来たメールでは、こうなっていた。
(2) 漏えいの可能性があるお客様の個人情報の内容
本メールを受け取られたお客様につきまして、漏えいした可能性のある個人情報は、最大で以下の情報となります。
・メールアドレス
・ユーザーID
・パスワード(ハッシュ化されております)
とりあえずパスワードを変更した。
特別調査委員会の調査報告書受領に関するお知らせ (ビッグモーター, 7/5)。関連:
損保協会新会長、ビッグモーターに「速やかに調査報告書の開示望む」 (MAGX, 6/30)
ビッグモーター、不正の認定で「黙殺戦略」に綻び 超薄い謝罪文ににじむ、モラルなき企業の実像 (東洋経済, 7/11)
「ビッグモーター」報告書 “傷の範囲拡大”悪質行為など指摘 (NHK, 7/14)
ビッグモーター「調査報告書」その内容は? (NHK, 7/14)
修理費用を水増しして保険金を不正に請求するため、故意に車に傷をつけるような事例が横行していたことが明らかになりました。
具体例として以下のような行為が行われていたと指摘されています。
・ヘッドライトのカバーを割る
・ドライバーで車体をひっかいて傷をつける
・ろうそくやサンドペーパーなどを使って、車体に傷をつける
・ゴルフボールを靴下に入れて振り回し、車をたたいてひょうの被害で受けた傷の範囲を拡大させる
(中略)
これだけではありません。
・リサイクル品を使って部品交換を行ったにもかかわらず、新品の部品を使ったとしていたケース
・発注、使用しなかった部品を発注、使用していたとしたケース
・実際には行わなかった作業を施工したとしていたケース
ビッグモーター社長ら、内部告発もみ消しか 損保「自浄作用ない」 (朝日, 7/15)
修理ノルマ、1台当たり14万円 ビッグモーター不正で調査報告書 (共同, 7/17)
ビッグモーターと損保ジャパン
ビッグモーター、組織的な不正請求が明らかに 調査報告書の公表めぐり晒した経営の醜態 (東洋経済, 7/6)
調査結果を受けて、今後は保険金詐取といった刑事事件に発展する可能性があるが、その前段階として焦点となるのが、不正請求の全容解明と、損保ジャパンとの“癒着”だ。
特別調査委が今回実施したのは、あくまでビッグモーターにおける不正請求の経緯や真因の調査だ。
いつから行われていたのか、何件あったのか、なぜ損保ジャパンはほかの大手損保が停止した取引を早々に再開したのか(再開2カ月後に再び中断)、といったことの全容調査はまさにこれから始まることになる。
ビッグモーターと損保ジャパン、不正請求の蜜月 水増し請求の温床「営業ノルマ」を黙認した罪 (東洋経済, 7/14)
つまり損保ジャパンは、ビッグモーターの営業ノルマを黙認し、損保他社が追及している不正疑惑に目をつぶるような形で、結果として自賠責の契約増という利益を享受していたことになる。
その後、東京海上などの調査によって組織的な不正請求の実態が徐々に明らかになると、損保ジャパンは慌てたように入庫誘導を再び中止している。
損保ジャパン、ビッグモーター不正を黙認・利用し契約増の利益享受か…問題体質が露呈 (Business Journal, 7/18)
》 「メールアドレスのタイプミス」でアメリカ軍の機密情報を含む数百万通のメールが西アフリカのマリに流出していたことが判明 (gigazine, 7/18)。.mil と .ml 。
》 Brute-Force ZIP Password Cracking with zipdump.py: FP Fix (SANS ISC, 7/16)
》 FIRST Announces CVSS v4.0 Public Preview (Red Hat, 6/21)
》 「GitHub」でパスキー認証のパブリックベータを開始 ~パスワードレスで安全に (窓の杜, 7/14)
》 Microsoft、「Azure Active Directory」を「Microsoft Entra ID」へ改称 (窓の杜, 7/12)
同社は昨年より資格情報とネットワークアクセスに関するブランドとして「Microsoft Entra」を展開しているが、「Azure Active Directory」もそれに統合される。
》 SNSのアカウント名で被疑者断定した大阪府警の誤認逮捕についてまとめてみた (piyolog, 7/11)。また大阪府警ですか。
水上無人艇の夜間攻撃で損傷したクリミア大橋、道路橋の一部橋桁が崩落 (航空万能論 GF, 7/17)
ウクライナメディア、クリミア大橋の道路橋損傷は戦場に影響を与えない (航空万能論 GF, 7/17)
》 ウクライナ産農産物の輸出協定、 ロシア延長せず失効 (BBC, 7/18)
》 ツイッター、広告収入半減 マスク氏の買収後 (BBC, 7/17)
》 BBCの超大物キャスターが「17歳の子どもの性的画像」に大金を払ったとの報道、BBCは名前を伏せるも本人の妻が名乗り出る (gigazine, 7/13)。ヒュー・エドワーズ。
疑惑の司会者はBBCニュースの「顔」 視聴者にも衝撃 (BBC, 7/13)
渦中のBBC司会者はヒュー・エドワーズ氏 「心の健康の問題」で入院中と妻が公表 (BBC, 7/13)
》 クラウドの“神話”が崩壊する? 中国のハッカー集団によるマイクロソフトへの不正アクセス成功の衝撃 (WIRED, 7/14)。Storm-0558 の件。
上記とは別に、はるかに懸念すべき説もある。それはStorm-0558が使用したトークンの署名鍵が、マイクロソフトのネットワークから盗み出されたのではないか、という説だ。具体的には、マイクロソフトをだまして新たな鍵をStorm-0558に発行させたか、さらには鍵を生成した暗号化プロセスに存在する誤りを悪用して何らかの手法で鍵を再現したのではないか、と考えられている。
マイクロソフトが説明しているトークンの認証バグと合わせると、この説が正しければ一般消費者向けであれエンタープライズ向けであれ、あらゆるOutlookのクラウドアカウント向けのトークンを署名する目的で今回の鍵が使われる可能性があったということだ。言い換えれば、マイクロソフトのクラウドのかなりの部分、さらには全体を“合鍵”で解錠されてしまう危険があったということになる。
関連: Storm-0558による複数の問題を悪用したMicrosoft クラウドサービスへの不正アクセスについてまとめてみた (piyolog, 2023.07.17)
》 Twitterからの移行先となるサービスは“改悪化”の罠を回避できるのか? (WIRED, 7/12)
MetaのThreads、Mastodonなどと相互運用可能に ActivityPubプロトコル採用で (ITmedia, 7/6)
メタの「Threads」は、本家のTwitterを“過去の遺物”に追いやるのか (WIRED, 7/7)
メタの「Threads」は、どんな個人情報を収集している? TwitterやBlueskyなどと比較して見えてきたこと (WIRED, 7/8)
もうTwitterの“代替品”は必要ない!? 「Threads」の登場がソーシャルメディアの世界にもたらすこと (WIRED, 7/9)
メタのデータ収集が気になるなら、「Threads」が“分散型”になるまで参加しないほうがいい? (WIRED, 7/11)
「Threads」は「ポストTwitter」となり得るか (PC Watch, 7/13)
Twitter代替アプリとして注目集める「Threads」の週間アクティブユーザーはすでにTwitterの5分の1に到達 (gigazine, 7/17)
》 Twitterのコミュニティノートは「正確な情報源」として十分に機能していないと内部告発者が指摘 (gigazine, 7/13)。関連:
Twitterのデマ拡散を防ぐ「コミュニティノート」は本当に信用できるのかアルゴリズムの仕組みを解説 (gigazine, 7/12)
ツイート
文脈を補足しつつ概要を紹介すると、
— 星 暁雄 (ITと人権) (@AkioHoshi) July 13, 2023
(1) コミュニティノート機能はTwitter社が長らくテストを重ねていたが、2022年10月にイーロン・マスク氏によるTwitter買収が決まった直後、急ぎ米国のTwitterユーザーに対して一般公開された。
(2)…
感想続き:
— 星 暁雄 (ITと人権) (@AkioHoshi) July 13, 2023
イーロン・マスク氏は、ある意味で「ひろゆき」拡大版なんだな。ネット言論を舌先三寸で操り、あちこちで支払いを滞らせる。こう言語化するとそっくりだ。
》 Huaweiが5G対応スマホの復活でアメリカからの制限による危機から脱却へ (gigazine, 7/13)
》 2023年上半期の仮想通貨犯罪の被害額は前年比で65%も減少したことが判明、一方でランサムウェア攻撃の被害額は大幅増 (gigazine, 7/14)
》 スマートフォンは2027年までに交換可能なバッテリーを搭載する必要があるという規制案を欧州理事会が採択、世界中のスマートフォンに影響を与える可能性 (gigazine, 7/14)
》 Twitterの親会社であるXが「Twitterでデータスクレイピングを行い損害を与えた」として4人を提訴、1億3000万円超の損害賠償を求める (gigazine, 7/14)
》 ハリウッドの俳優や脚本家が「仕事を奪うようなAIの規制」を求めてストライキを起こす (gigazine, 7/14)。AI & ストリーミング時代に適合した新しい契約が必要だ、という要求。 そりゃそうだ。関連:
ツイート
出演料を公開したことに驚く日本の俳優が多いのですが、出演料を「非公開」にする事で利するのは誰でしょう?そう、制作者です。「◯◯が10万円貰ってるなら自分も10万円欲しい」と言われなくて済む。だから、あえて公開するんです。俳優が「フェアな出演料」を知れるように。https://t.co/DckWOfcQTR
— Yuki Matsuzaki 松崎悠希📽 (@Yuki_Mats) July 14, 2023
今井むつみ 言語習得に見る知性の本質 (今井むつみ / 中央公論, 6/12)
オノマトペは日本語習得を目指す外国人にとっては、最も難しい分野の一つ。それはオノマトペ習得が最初期の「記号接地」体験だからです。
記号接地とは元々人工知能の用語で、ことばと身体感覚や経験とをつなげること。「リンゴ」と聞けば、その色や模様、匂い、果肉の色や食感、味、舌触りなど、さまざまな特徴を思い出すことができますよね。「すてきだ」とか「嫌だ」といった感情も含みます。人間が言語を習得するとは、そういうことなのです。
ChatGPTとは、「次に来ることば予測機」です。けれど、人間がするような記号接地をしていない。そこには大きな違いがあります。 (中略) 記号接地をしていない以上、人の意図はわからないけれど、わかっているフリ、辻褄合わせはどんどんうまくなっていく。それがChatGPTなのだと思います。
ChatGPTが「個人についての不名誉で誤解を招く虚偽の説明」を生成したとしてアメリカ当局がOpenAIの調査を開始 (gigazine, 7/14)
Nghttp2 v1.55.1 (ghttp2.org, 2023.07.14)。CVE-2023-35945: HTTP/2 memory leak in nghttp2 codec が修正されている。iida さん情報ありがとうございます。
JVNVU#93767756 ブラザー製debutウェブサーバーを実装している複数のプリンタ機器や複合機(MFP)におけるNULLポインタ参照の脆弱性 (JVN, 2023.06.29)。 ブラザー、 富士フイルムビジネスイノベーション、 東芝テックからアドバイザリが出ている。
Zimbra Collaboration Suite warning: Patch this 0-day right now (by hand)! (Sophos, 2023.07.14)
OpenSSL Security Advisory [14th July 2023] AES-SIV implementation ignores empty associated data entries (CVE-2023-2975) (oss-sec ML, 2023.07.14)。 OpenSSL 3.0.x / 3.1.x に影響。Severity: Low のため、次期公開版にて修正。
iida さん情報ありがとうございます。
OpenSSL 3.1.2 / 3.0.10 で修正されました。
iperf3 Release Notes: iperf-3.14 2023-07-07 (GitHub esnet/iperf, 2023.07.07)。 ESNET-SECADV-2023-0001 を修正。
DoS on sending invalid length in iperf_api.c+2684 #1542 (GitHub esnet/iperf, 2023.07.04)
FG-IR-23-183 - FortiOS/FortiProxy - Proxy mode with deep inspection - Stack-based buffer overflow (Fortinet, 2023.07.11)。修正ファームウェアあり。 SSL インスペクションプロファイルで HTTP/2 サポートを無効にすれば回避できる。
Juniper Releases Multiple Security Updates for Juno OS (CISA, 2023.07.13)。いっぱい。
無料の高機能パケット解析ツール「Wireshark 4.0.7」が公開 ~2件の脆弱性が修正 (窓の杜, 2023.07.13)。 Wireshark 3.6.15 も出ています。
2022 年 11 月のセキュリティ更新プログラム (月例) (2022.11.09)
CVE-2022-38023 方面。
KB5021130: CVE-2022-38023 に関連する Netlogon プロトコルの変更を管理する方法 (Microsoft)。強制フェーズに移行しました。
【重要なおしらせ】 Windows Netlogon脆弱性対応(CVE-2022-38023)のための仕様変更による ONTAP SMB 共有アクセスへの影響 (日本オフィス・システム株式会社 2023.06.23)
CVE-20122-38023は、ONTAP 9に影響しますか (NetApp)
》 米空軍大将、NATO加盟国の兵器備蓄量は危険なほど少なくなっている (航空万能論 GF, 7/14)
レポートを執筆したジョセフ・グアステラ元空軍中将は「計画された耐用年数を過ぎている。機体が古くなればなるほど必要な整備と部品交換が増加し、その影響でパイロットの飛行時間も減少している。パイロットの年間飛行時間で中国空軍は初めて米空軍を上回った」と指摘。
関連: 米空軍、予算状況が厳しいためF-15Eを218機から99機に削減すると言及 (航空万能論 GF, 7/13)
Aviation Weekは当時「米空軍はF-15Eの中でF100-PW-220Eを搭載する119機の退役を2025年に開始、2028年までにF100-PW-229を搭載する機体のみにすることを検討している」と報じていたが、 公聴会に出席したブラウン参謀総長は11日「予算状況が厳しいためF-15Eのアップグレードは他のプログラムとのトレードオフが必要で、空軍はF100-PW-229を搭載する機体のみを維持し、F100-PW-220Eを搭載する機体への投資を新しい戦闘機の調達に切り替える方が、戦闘機戦力にとって最良の組み合わせだと判断した」と明かした。
》 ドイツとポーランドが決裂、ウクライナのレオパルト2はドイツで修理 (航空万能論 GF, 7/12)。やれやれ。
》 英国防相が忠告、我々はウクライナに武器を配送するアマゾンではない (航空万能論 GF, 7/13)
》 Announcement: Drupal core issues with some risk levels may be treated as bugs in the public issue queue, not as private security issues - PSA-2023-07-12 (Drupal, 7/11)。public として扱う奴が出てきますと。 例として挙げられているのは、Information disclosure、Content injection、 Denial of service。
》 開発者のWindows、macOS、Linux環境を狙ったDangerousPasswordによる攻撃 (JPCERT/CC Eyes, 7/12)。DangerousPassword という名前の攻撃グループ。
》 DNSの不正使用手法をまとめた技術ドキュメントの公開 (JPCERT/CC Eyes, 7/6)、 DNS の不正使用手法に対抗するためのマトリックス (FIRST, 2/9)。
》 JAXAの改良型ロケット「イプシロンS」の2段目モータ、地上燃焼試験中に爆発 (マイナビニュース, 7/14)。あらまあ。
イプシロンロケットは、6号機までのイプシロンロケット以降は、H3ロケットとのシナジー効果を発揮させることを目的に開発の第2段階となる改良型のイプシロンSロケットへと移行する計画で、開発が進められてきた。2段モータは、前世代の強化型イプシロンと比べて大型化され、推進薬量も約3t増量の約18tへと引き上げられたものへと変更されていた。
そもそも H3 がうまくいってないのでねえ……。
JAXA のイプシロンのページ だとイプシロンS 第2段の推進薬量は15tのまま変更なしのように見えるのだけど、実際は 推進薬量増なのですか。 あと、「SRB-3 と推進薬共通化」ともあるので、量だけでなく質も違うのかな。
関連:
「イプシロンS」燃焼試験で異常発生 けが人なし 秋田 能代 (NHK, 7/14)
肝付町から来年度打ち上げ計画の「イプシロンS」エンジン燃焼試験中に爆発 鹿児島 (MBC 南日本放送, 7/14)
イプシロンS爆発「1キロ離れていても窓揺れた」 近隣住民らも動揺 (朝日, 7/14)
》 国連人権理、24日から訪日 ジャニーズ性加害調査も実施 (共同, 7/14)
》 「平成狸合戦ぽんぽこ」が元宗教二世をじんわりと癒してくれる理由 (もるすこ / note, 7/14)
主人公の正吉は人間に化けてサラリーマン生活を送るタヌキです。人間に化け続けるのは疲労がたまります。
疲れたら目のクマがあらわれ、尻尾が出てきちゃう。栄養ドリンクを飲んでなんとか尻尾を隠して人間の世界に紛れて生きています。
これが「元」宗教二世にとってはまるで自分のことのように見えてしまうんです。 (中略) 宗教二世は人間界に紛れたタヌキに似てるんです。
》 AIが生成したデータをAIに5回以上学習させると『MAD』になる。出力結果に大きな破綻が生じることが判明 (ニッチなPCゲーマーの環境構築Z, 7/13)。garbage in, garbage out?
》 Intel、NUCの開発・製造を終了。直接投資を停止。しかし (ニッチなPCゲーマーの環境構築Z, 7/12)。おぉぅ。
2023 年 7 月のセキュリティ更新プログラム (月例) (2023.07.12)
今回の patch、Samba DC 環境での動作に支障があるようです。
Windows Updateに伴うSambaの動作に関する問題のお知らせ (OSSTech, 2023.07.14)
2023/07/11 に提供された Windows Updateを適用したWindows端末においてSambaによるADドメイン、NTドメインに参加したWindows端末とのセキュアチャネルが破損し、ドメインログオン等の認証が正常に動作しない問題が発生しております。
2023 年 7 月のセキュリティ更新プログラム (月例) (2023.07.12)
これを忘れてた。CVE 番号が太字なのは critical (最大深刻度: 緊急) 扱い。
- .NET and Visual Studio CVE-2023-33127
- ASP.NET and .NET CVE-2023-33170
- Azure Active Directory CVE-2023-35348 CVE-2023-36871
- Microsoft Dynamics CVE-2023-33171 CVE-2023-35335
- Microsoft Edge (Chromium-based) CVE-2023-36883 CVE-2023-36887 CVE-2023-36888
- Microsoft Graphics Component CVE-2023-21756 CVE-2023-33149
- Microsoft Media-Wiki Extensions CVE-2023-35333
- Microsoft Office CVE-2023-33148 CVE-2023-33150 CVE-2023-36884 CVE-2023-33152
- Microsoft Office Excel CVE-2023-33158 CVE-2023-33161 CVE-2023-33162
- Microsoft Office Outlook CVE-2023-33151 CVE-2023-33153 CVE-2023-35311
- Microsoft Office SharePoint CVE-2023-33134 CVE-2023-33157 CVE-2023-33159 CVE-2023-33160 CVE-2023-33165
- Microsoft Power Apps CVE-2023-32052
- Microsoft Printer Drivers CVE-2023-32039 CVE-2023-32040 CVE-2023-32085 CVE-2023-35296 CVE-2023-35302 CVE-2023-35306 CVE-2023-35324
- Microsoft Windows Codecs Library CVE-2023-32051 CVE-2023-35303 CVE-2023-36872
- Mono Authenticode CVE-2023-35373
- Paint 3D CVE-2023-32047 CVE-2023-35374
- Role: DNS Server CVE-2023-35310 CVE-2023-35344 CVE-2023-35345 CVE-2023-35346
- Service Fabric CVE-2023-36868
- Visual Studio Code CVE-2023-36867
- Windows Active Directory Certificate Services CVE-2023-35350 CVE-2023-35351
- Windows Active Template Library CVE-2023-32055
- Windows Admin Center CVE-2023-29347
- Windows App Store CVE-2023-35347
- Windows Authentication Methods CVE-2023-35329
- Windows CDP User Components CVE-2023-35326
- Windows Certificates ADV230001
- Windows Clip Service CVE-2023-35362
- Windows Cloud Files Mini Filter Driver CVE-2023-33155
- Windows Cluster Server CVE-2023-32033
- Windows CNG Key Isolation Service CVE-2023-35340
- Windows Common Log File System Driver CVE-2023-35299
- Windows Connected User Experiences and Telemetry CVE-2023-35320 CVE-2023-35353
- Windows CryptoAPI CVE-2023-35339
- Windows Cryptographic Services CVE-2023-33174
- Windows Defender CVE-2023-33156
- Windows Deployment Services CVE-2023-35321 CVE-2023-35322
- Windows EFI Partition ADV230002
- Windows Error Reporting CVE-2023-36874
- Windows Failover Cluster CVE-2023-32083
- Windows Geolocation Service CVE-2023-35343
- Windows HTTP.sys CVE-2023-32084 CVE-2023-35298
- Windows Image Acquisition CVE-2023-35342
- Windows Installer CVE-2023-32050 CVE-2023-32053
- Windows Kernel CVE-2023-35304 CVE-2023-35305 CVE-2023-35356 CVE-2023-35357 CVE-2023-35358 CVE-2023-35363
- Windows Layer 2 Tunneling Protocol CVE-2023-32037
- Windows Layer-2 Bridge Network Driver CVE-2023-35315
- Windows Local Security Authority (LSA) CVE-2023-35331
- Windows Media CVE-2023-35341
- Windows Message Queuing CVE-2023-32044 CVE-2023-32045 CVE-2023-32057 CVE-2023-35309
- Windows MSHTML Platform CVE-2023-32046 CVE-2023-35308 CVE-2023-35336
- Windows Netlogon CVE-2023-21526
- Windows Network Load Balancing CVE-2023-33163
- Windows NT OS Kernel CVE-2023-35360 CVE-2023-35361 CVE-2023-35364
- Windows ODBC Driver CVE-2023-32038
- Windows OLE CVE-2023-32042
- Windows Online Certificate Status Protocol (OCSP) SnapIn CVE-2023-35313 CVE-2023-35323
- Windows Partition Management Driver CVE-2023-33154
- Windows Peer Name Resolution Protocol CVE-2023-35338
- Windows PGM CVE-2023-35297
- Windows Print Spooler Components CVE-2023-35325
- Windows Remote Desktop CVE-2023-32043 CVE-2023-35332 CVE-2023-35352
- Windows Remote Procedure Call CVE-2023-32034 CVE-2023-32035 CVE-2023-33164 CVE-2023-33166 CVE-2023-33167 CVE-2023-33168 CVE-2023-33169 CVE-2023-33172 CVE-2023-33173 CVE-2023-35300 CVE-2023-35314 CVE-2023-35316 CVE-2023-35318 CVE-2023-35319
- Windows Routing and Remote Access Service (RRAS) CVE-2023-35365 CVE-2023-35366 CVE-2023-35367
- Windows Server Update Service CVE-2023-32056 CVE-2023-35317
- Windows SmartScreen CVE-2023-32049
- Windows SPNEGO Extended Negotiation CVE-2023-35330
- Windows Transaction Manager CVE-2023-35328
- Windows Update Orchestrator Service CVE-2023-32041
- Windows VOLSNAP.SYS CVE-2023-35312
- Windows Volume Shadow Copy CVE-2023-32054
- Windows Win32K CVE-2023-35337
関連:
July 2023 Microsoft Patch Update (SANS ISC, 2023.07.11)
【Windows11】 WindowsUpdate 2023年7月 不具合情報 - セキュリティ更新プログラム KB5028185 / KB5028182 [Update 1] (ニッチなPCゲーマーの環境構築Z, 2023.07.14 更新)
【Windows10】 WindowsUpdate 2023年7月 不具合情報 - セキュリティ更新プログラム KB5028166 (ニッチなPCゲーマーの環境構築Z, 2023.07.12)
》 男性教諭が同僚女性の下着盗む、市教委と校長「被害届出さないで」 抗議受け謝罪 (京都新聞, 7/13)。「滋賀県守山市の守山小学校」。
今回の問題で市教委は滋賀県教委への報告を約7カ月間も怠ったとして県教委から口頭指導を受けた。公表時に報告遅れの理由を「被害者が被害届を出すか迷っていた」としたため女性が抗議。市教委が改めて聞き取り調査したという。
》 きょうから変わる性犯罪規定 あとで「同意はなかった」と言われたらどうなる? (前田恒彦 / Yahoo, 7/13)。世のラブコメ作者のみなさまもご注意ください。 明確に同意取ってる作品って少ないよね……。
2023 年 7 月のセキュリティ更新プログラム (月例) (2023.07.12)
CVE-2023-36884 の件。
Attackers Exploit Unpatched Windows Zero-Day Vulnerability (Symantec, 2023.07.12)。Symantec 製品は対応済。
The attacks were earlier documented by BlackBerry on July 8, which noted that the targets were guests for the upcoming NATO Summit. At the time, the use of the zero-day in the attacks was unknown.
RomCom Threat Actor Suspected of Targeting Ukraine's NATO Membership Talks at the NATO Summit (BlackBerry, 2023.07.08)
0-day は上記を入れて 6 件。いずれも既に悪用されている。
Windows MSHTML Platform Elevation of Privilege Vulnerability CVE-2023-32046 (Microsoft, 2023.07.11)
Windows SmartScreen Security Feature Bypass Vulnerability CVE-2023-32049 (Microsoft, 2023.07.11)
Microsoft Outlook Security Feature Bypass Vulnerability CVE-2023-35311 (Microsoft, 2023.07.11)
Windows Error Reporting Service Elevation of Privilege Vulnerability CVE-2023-36874 (Microsoft, 2023.07.11)
Guidance on Microsoft Signed Drivers Being Used Maliciously ADV230001 (Microsoft, 2023.07.11)。関連:
Undocumented driver-based browser hijacker RedDriver targets Chinese speakers and internet cafes (Cisco Talos, 2023.07.11)
Microsoft patches four zero-days, finally takes action against crimeware kernel drivers (Sophos, 2023.07.12)
フェーズ移行の件。
KB5021130: CVE-2022-38023 に関連する Netlogon プロトコルの変更を管理する方法 (Microsoft)。強制フェーズに移行しました。
KB5020805: CVE-2022-37967 に関連する Kerberos プロトコルの変更を管理する方法 (Microsoft)。初期適用フェーズに移行しました。
KB5025885: CVE-2023-24932 に関連付けられているセキュア ブートの変更に対する Windows ブート マネージャー失効を管理する方法 (Microsoft)。「2番目の展開フェーズ」に移行しました。 施行フェーズ移行は 2024Q1 となっており、具体的な日程はまだ決まっていないようです。
あと CVE-2023-28005 の件。
Microsoft Guidance for Addressing Security Feature Bypass in Trend Micro EFI Modules ADV230002 (Microsoft, 2023.07.11)
IMPORTANT SECURITY BULLETIN: Secure Boot Bypass Vulnerability in Trend Micro Endpoint Encryption (TMEE) FDE 6.0 (Trendmicro, 2023.03.14)
Express5800/53Xj, Y53Xj システムBIOS 5.0.0036 (NEC, 2023.05.30)
Apple 方面 0-day (iOS / iPadOS, macOS, Safari) (不具合多数のため、Apple は RSR を撤回) (2023.07.11)
緊急セキュリティ対応として iOS / iPadOS 16.5.1 (c) および macOS 13.4.1 (c) が公開されました。 (a) を取り下げることになった不具合が修正されていると思われます。
About the security content of Rapid Security Responses for iOS 16.5.1 and iPadOS 16.5.1 (Apple, 2023.07.12 更新)
About the security content of Rapid Security Responses for macOS Ventura 13.4.1 (Apple, 2023.07.12 更新)
Safari は 16.5.2 のままです。
》 情報通信審議会 情報技術分科会 陸上無線通信委員会 5.2GHz帯及び6GHz帯無線LAN作業班(第10回) (総務省, 6/28)。Wi-Fi 7 の件など。
》 情報通信審議会 情報通信技術分科会 陸上無線通信委員会 小電力システム作業班 TPMS・RKEシステムアドホックグループ(第1回) (総務省)。明日開催の会議資料。
- タイヤ空気圧モニタ(TPMS:Tire Pressure Monitoring System)及びリモートキーレスエントリ (RKE:Remote Keyless Entry)は、我が国においては、平成19年に、315MHz帯を使用し、免許を 要しない無線局(特定小電力無線局)として導入されているところである。
- 一方、国際的には433MHz帯を使用した同システムの普及が進んでおり、国際的な周波数協調を見据え、 新たな周波数の利用が求められている状況である。
- このような状況を踏まえ、433MHz帯を使用するタイヤ空気圧モニタ及びリモートキーレスエントリの技術的条件について検討を行う。
EU と韓国では 433MHz 帯のみ、中国・米国も 433MHz 帯が主なのですか。 へぇ。
》 マクロン大統領、NATO首脳会議でSCALP-EGのウクライナ提供を発表 (航空万能論 GF, 7/11)。Storm Shadow の件。
戦場ではSCALP-EGの残骸が確認されているため、少なくともフランスは6月中にSCALP-EGをウクライナに提供していた可能性が高い。
》 ドイツとトルコがウクライナに兵器製造工場の建設を開始、ロシアが反発 (航空万能論 GF, 7/11)。ラインメタルと BAYKAR。
》 政治的成果を手に入れたトルコ、NATO加盟手続きを進めることでスウェーデンと合意 (航空万能論 GF, 7/11)。F-16V の件など。
米大統領、トルコにF16供与の意向 議会と協議へ (ニューズウィーク日本版, 7/12)
トルコのエルドアン大統領、スウェーデンのNATO加盟承認でF-16戦闘機の供与を引き出す (Business Insider, 7/12)
》 11時予定のJアラート訓練【中止】。北朝鮮ミサイル発射の影響か (PC Watch, 7/12)
出ました。明日ちゃんと書く予定。0-day が複数あるのだけど、特にこれ。
今月、公開した脆弱性のうち、CVE-2023-36884 「Office および Windows における HTML のリモートでコードが実行される脆弱性」は現時点で更新プログラムは公開されていません。準備ができ次第、更新プログラムを公開し、セキュリティ更新プログラムガイドの脆弱性のページ CVE-2023-36884 を更新します。
おぉぅ。0-day かつ patch なし。回避策は↓
Storm-0978 attacks reveal financial and espionage motives (MSRI, 2023.07.11)
Customers who use Microsoft Defender for Office 365 are protected from attachments that attempt to exploit CVE-2023-36884. In addition, customers who use Microsoft 365 Apps (Versions 2302 and later) are protected from exploitation of the vulnerability via Office. Organizations who cannot take advantage of these protections can set the FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION registry key to avoid exploitation. More mitigation recommendations are outlined in this blog.
と……。
Microsoft: Unpatched Office zero-day exploited in NATO summit attacks (Bleeping Computer, 2023.07.11)
Those not using these protections can add the following application names to the HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION registry key as values of type REG_DWORD with data 1:However, it's important to note that setting this registry key to block exploitation attempts, may also impact some Microsoft Office functionality linked to the applications listed above.
- Excel.exe
- Graph.exe
- MSAccess.exe
- MSPub.exe
- PowerPoint.exe
- Visio.exe
- WinProj.exe
- WinWord.exe
- Wordpad.exe
CVE-2023-36884 の件。
Attackers Exploit Unpatched Windows Zero-Day Vulnerability (Symantec, 2023.07.12)。Symantec 製品は対応済。
The attacks were earlier documented by BlackBerry on July 8, which noted that the targets were guests for the upcoming NATO Summit. At the time, the use of the zero-day in the attacks was unknown.
RomCom Threat Actor Suspected of Targeting Ukraine's NATO Membership Talks at the NATO Summit (BlackBerry, 2023.07.08)
0-day は上記を入れて 6 件。いずれも既に悪用されている。
Windows MSHTML Platform Elevation of Privilege Vulnerability CVE-2023-32046 (Microsoft, 2023.07.11)
Windows SmartScreen Security Feature Bypass Vulnerability CVE-2023-32049 (Microsoft, 2023.07.11)
Microsoft Outlook Security Feature Bypass Vulnerability CVE-2023-35311 (Microsoft, 2023.07.11)
Windows Error Reporting Service Elevation of Privilege Vulnerability CVE-2023-36874 (Microsoft, 2023.07.11)
Guidance on Microsoft Signed Drivers Being Used Maliciously ADV230001 (Microsoft, 2023.07.11)。関連:
Undocumented driver-based browser hijacker RedDriver targets Chinese speakers and internet cafes (Cisco Talos, 2023.07.11)
Microsoft patches four zero-days, finally takes action against crimeware kernel drivers (Sophos, 2023.07.12)
フェーズ移行の件。
KB5021130: CVE-2022-38023 に関連する Netlogon プロトコルの変更を管理する方法 (Microsoft)。強制フェーズに移行しました。
KB5020805: CVE-2022-37967 に関連する Kerberos プロトコルの変更を管理する方法 (Microsoft)。初期適用フェーズに移行しました。
KB5025885: CVE-2023-24932 に関連付けられているセキュア ブートの変更に対する Windows ブート マネージャー失効を管理する方法 (Microsoft)。「2番目の展開フェーズ」に移行しました。 施行フェーズ移行は 2024Q1 となっており、具体的な日程はまだ決まっていないようです。
あと CVE-2023-28005 の件。
Microsoft Guidance for Addressing Security Feature Bypass in Trend Micro EFI Modules ADV230002 (Microsoft, 2023.07.11)
IMPORTANT SECURITY BULLETIN: Secure Boot Bypass Vulnerability in Trend Micro Endpoint Encryption (TMEE) FDE 6.0 (Trendmicro, 2023.03.14)
Express5800/53Xj, Y53Xj システムBIOS 5.0.0036 (NEC, 2023.05.30)
これを忘れてた。CVE 番号が太字なのは critical (最大深刻度: 緊急) 扱い。
- .NET and Visual Studio CVE-2023-33127
- ASP.NET and .NET CVE-2023-33170
- Azure Active Directory CVE-2023-35348 CVE-2023-36871
- Microsoft Dynamics CVE-2023-33171 CVE-2023-35335
- Microsoft Edge (Chromium-based) CVE-2023-36883 CVE-2023-36887 CVE-2023-36888
- Microsoft Graphics Component CVE-2023-21756 CVE-2023-33149
- Microsoft Media-Wiki Extensions CVE-2023-35333
- Microsoft Office CVE-2023-33148 CVE-2023-33150 CVE-2023-36884 CVE-2023-33152
- Microsoft Office Excel CVE-2023-33158 CVE-2023-33161 CVE-2023-33162
- Microsoft Office Outlook CVE-2023-33151 CVE-2023-33153 CVE-2023-35311
- Microsoft Office SharePoint CVE-2023-33134 CVE-2023-33157 CVE-2023-33159 CVE-2023-33160 CVE-2023-33165
- Microsoft Power Apps CVE-2023-32052
- Microsoft Printer Drivers CVE-2023-32039 CVE-2023-32040 CVE-2023-32085 CVE-2023-35296 CVE-2023-35302 CVE-2023-35306 CVE-2023-35324
- Microsoft Windows Codecs Library CVE-2023-32051 CVE-2023-35303 CVE-2023-36872
- Mono Authenticode CVE-2023-35373
- Paint 3D CVE-2023-32047 CVE-2023-35374
- Role: DNS Server CVE-2023-35310 CVE-2023-35344 CVE-2023-35345 CVE-2023-35346
- Service Fabric CVE-2023-36868
- Visual Studio Code CVE-2023-36867
- Windows Active Directory Certificate Services CVE-2023-35350 CVE-2023-35351
- Windows Active Template Library CVE-2023-32055
- Windows Admin Center CVE-2023-29347
- Windows App Store CVE-2023-35347
- Windows Authentication Methods CVE-2023-35329
- Windows CDP User Components CVE-2023-35326
- Windows Certificates ADV230001
- Windows Clip Service CVE-2023-35362
- Windows Cloud Files Mini Filter Driver CVE-2023-33155
- Windows Cluster Server CVE-2023-32033
- Windows CNG Key Isolation Service CVE-2023-35340
- Windows Common Log File System Driver CVE-2023-35299
- Windows Connected User Experiences and Telemetry CVE-2023-35320 CVE-2023-35353
- Windows CryptoAPI CVE-2023-35339
- Windows Cryptographic Services CVE-2023-33174
- Windows Defender CVE-2023-33156
- Windows Deployment Services CVE-2023-35321 CVE-2023-35322
- Windows EFI Partition ADV230002
- Windows Error Reporting CVE-2023-36874
- Windows Failover Cluster CVE-2023-32083
- Windows Geolocation Service CVE-2023-35343
- Windows HTTP.sys CVE-2023-32084 CVE-2023-35298
- Windows Image Acquisition CVE-2023-35342
- Windows Installer CVE-2023-32050 CVE-2023-32053
- Windows Kernel CVE-2023-35304 CVE-2023-35305 CVE-2023-35356 CVE-2023-35357 CVE-2023-35358 CVE-2023-35363
- Windows Layer 2 Tunneling Protocol CVE-2023-32037
- Windows Layer-2 Bridge Network Driver CVE-2023-35315
- Windows Local Security Authority (LSA) CVE-2023-35331
- Windows Media CVE-2023-35341
- Windows Message Queuing CVE-2023-32044 CVE-2023-32045 CVE-2023-32057 CVE-2023-35309
- Windows MSHTML Platform CVE-2023-32046 CVE-2023-35308 CVE-2023-35336
- Windows Netlogon CVE-2023-21526
- Windows Network Load Balancing CVE-2023-33163
- Windows NT OS Kernel CVE-2023-35360 CVE-2023-35361 CVE-2023-35364
- Windows ODBC Driver CVE-2023-32038
- Windows OLE CVE-2023-32042
- Windows Online Certificate Status Protocol (OCSP) SnapIn CVE-2023-35313 CVE-2023-35323
- Windows Partition Management Driver CVE-2023-33154
- Windows Peer Name Resolution Protocol CVE-2023-35338
- Windows PGM CVE-2023-35297
- Windows Print Spooler Components CVE-2023-35325
- Windows Remote Desktop CVE-2023-32043 CVE-2023-35332 CVE-2023-35352
- Windows Remote Procedure Call CVE-2023-32034 CVE-2023-32035 CVE-2023-33164 CVE-2023-33166 CVE-2023-33167 CVE-2023-33168 CVE-2023-33169 CVE-2023-33172 CVE-2023-33173 CVE-2023-35300 CVE-2023-35314 CVE-2023-35316 CVE-2023-35318 CVE-2023-35319
- Windows Routing and Remote Access Service (RRAS) CVE-2023-35365 CVE-2023-35366 CVE-2023-35367
- Windows Server Update Service CVE-2023-32056 CVE-2023-35317
- Windows SmartScreen CVE-2023-32049
- Windows SPNEGO Extended Negotiation CVE-2023-35330
- Windows Transaction Manager CVE-2023-35328
- Windows Update Orchestrator Service CVE-2023-32041
- Windows VOLSNAP.SYS CVE-2023-35312
- Windows Volume Shadow Copy CVE-2023-32054
- Windows Win32K CVE-2023-35337
関連:
July 2023 Microsoft Patch Update (SANS ISC, 2023.07.11)
【Windows11】 WindowsUpdate 2023年7月 不具合情報 - セキュリティ更新プログラム KB5028185 / KB5028182 [Update 1] (ニッチなPCゲーマーの環境構築Z, 2023.07.14 更新)
【Windows10】 WindowsUpdate 2023年7月 不具合情報 - セキュリティ更新プログラム KB5028166 (ニッチなPCゲーマーの環境構築Z, 2023.07.12)
今回の patch、Samba DC 環境での動作に支障があるようです。
Windows Updateに伴うSambaの動作に関する問題のお知らせ (OSSTech, 2023.07.14)
2023/07/11 に提供された Windows Updateを適用したWindows端末においてSambaによるADドメイン、NTドメインに参加したWindows端末とのセキュアチャネルが破損し、ドメインログオン等の認証が正常に動作しない問題が発生しております。
0-day の Windows Search Remote Code Execution Vulnerability CVE-2023-36884 は 2023.08 patch で対応されたそうです。
2023 年 8 月のセキュリティ更新プログラム (月例) (MSRC, 2023.08.08)
Microsoft Office Defense in Depth Update ADV230003 (Microsoft, 2023.08.08)
出てました。ColdFusion は Priority: 1 (可能な限り早期に適用すべき) です。
Security Update Available for Adobe InDesign | APSB23-38 (Adobe, 2023.07.11)。Priority: 3
Security updates available for Adobe ColdFusion | APSB23-40 (Adobe, 2023.07.11)。Priority: 1
ColdFusion 2023 / 2021 / 2018 が対象ですが、ColdFusion 2018 は今回でサポート終了だそうです。
ColdFusion、APSB23-40 に続いて APSB23-41 も出てました。 しかも 0-day。 もちろん Priority: 1。
Security updates available for Adobe ColdFusion | APSB23-41 (Adobe, 2023.07.14)。 CVE-2023-38203、 Priority: 1。 サポート終了のはずの ColdFusion 2018 用の更新も用意されています。
Adobe ColdFusion vulnerabilities exploited to deliver web shells (CVE-2023-29298, CVE-2023-38203) (helpnetsecurity.com, 2023.07.18)。 CVE-2023-29298 は APSB23-40 で修正されている 3 件の内の 1 つ。
To make matters worse, Rapid7 discovered on Monday that the fix for CVE-2023-29298 is also incomplete, and that a “trivially modified exploit” still works against the latest version of ColdFusion (the one released on July 14).
APSB23-40 における CVE-2023-29298 の修正は不完全なのだそうです。
Elecom WRH-300WH-H / WTC-300HWH / WTC-C1167GC-B / WTC-C1167GC-W / WRC-1167GHBK-S / WRC-1167GEBK-S / WRC-1167FEBK-S / WRC-1167GHBK3-A / WRC-1167FEBK-A に複数のセキュリティ欠陥。
LAN 側から無認証で任意のコマンドを実行できる
LAN 側から認証後に任意のコマンドを実行できる、 LAN 側から機微情報を取得される
クロスサイトスクリプティング
クロスサイトリクエストフォージェリー
オープンリダイレクト
いずれも修正版ファームウェアがあるので適用すればよい。
Firefox 115.0.0 / ESR 115.0.0 / ESR 102.13.0 公開 (2023.07.05)
Firefox 115.0.2 / ESR 115.0.2 公開。セキュリティ修正を含みます。
Firefox 115.0.2 がリリースされた (mozillaZine, 2023.07.12)
Thunderbird 115.0 も公開されましたが、「テスト目的での利用ではないユーザーは、現時点では Thunderbird 115 へ更新するべきではない」。
Thunderbird 115.0 がリリースされた (mozillaZine, 2023.07.12)
》 ロシア軍機を連続撃墜、ウクライナの「パトリオットで迎撃」はなぜ成功した? (数多 久遠 / JBpress, 7/10)
》 山下達郎「私の音楽は不要でしょう」発言で大炎上…“裸の王様”と化しファン落胆の必然 (日刊1ゲンダイ / Yahoo, 7/11)。さようなら。
》 Threads、商用利用について規約修正 「本来の趣旨にそぐわない商業目的」を禁止に (ITmedia, 7/11)。「企業が公式アカウントを開設するなどの一般的な商用利用は問題ない」。
》 「Threads」ユーザー1億人突破 サービス開始から5日 (ITmedia, 7/10)
》 産業部品販売の「FA機器.com」で情報漏えいか 最大2.6万人分の個人情報 サイト改ざんが原因 (ITmedia, 7/11)
》 ASCII閲覧中、偽サイトに飛ばされる問題 情報入力しないよう注意喚起 (ITmedia, 7/11)
広告配信システムを悪用されたのが原因。問題の広告は遮断済みで、今後は再発防止に向けて調査と回収を進めるとしている。
緊急セキュリティ対応 (Rapid Security Response, RSR) が出ています。 WebKit の RCE CVE-2023-37450 を修正。
About the security content of Rapid Security Responses for iOS 16.5.1 and iPadOS 16.5.1 (Apple, 2023.07.10)
About the security content of Rapid Security Responses for macOS Ventura 13.4.1 (Apple, 2023.07.10)
About the security content of Safari 16.5.2 (Apple, 2023.07.10)
……手元の iPadOS 16.5.1 には流れてきてないなあと思っていたら、 なんと不具合多数のために撤回されたそうで。うひ〜
Apple Pulls iOS 16.5.1 and macOS 13.4.1 Rapid Security Response Updates Due to Safari Bug (MacRumors, 2023.07.10)
Appleの撤回された緊急セキュリティ対応アップデートをiOS/iPadOSおよびmacOSでアンインストールする方法 (酔いどれオヤジのブログwp, 2023.07.11)
- [設定] > [一般]> [情報]へ移動します
- 次に、iOSバージョン番号をタップします
- 「セキュリティ応答を削除」を選択します
- DockまたはAppleメニューから[システム設定]を開きます
- 次に、[一般] > [情報]をクリックします
- macOSバージョンの隣にある情報[(i)ボタン]をクリックします
- 最後に、最新のセキュリティ応答の[削除して再起動]をクリックします
RSR の削除方法ですが、 iOS / iPadOS については https://support.apple.com/ja-jp/HT204204 にオフィシャル情報がありました。 macOS の場合のオフィシャル情報はどこにあるんだろう。
あと、Safari をアップデートしちゃっていた場合はどうすればいいんだろう?
緊急セキュリティ対応として iOS / iPadOS 16.5.1 (c) および macOS 13.4.1 (c) が公開されました。 (a) を取り下げることになった不具合が修正されていると思われます。
About the security content of Rapid Security Responses for iOS 16.5.1 and iPadOS 16.5.1 (Apple, 2023.07.12 更新)
About the security content of Rapid Security Responses for macOS Ventura 13.4.1 (Apple, 2023.07.12 更新)
Safari は 16.5.2 のままです。
Firefox 115.0.0 / ESR 115.0.0 / ESR 102.13.0 公開 (2023.07.05)
Thunderbird 102.13.0 公開。セキュリティ修正を含みます。
Thunderbird 102.13.0 がリリースされた (Mozilla, 2023.07.08)
また Firefox 115.0.1 / ESR 115.0.1 も公開。こちらは不具合修正のみ。
Firefox 115.0.1 がリリースされた (Mozilla, 2023.07.08)。「Kingsoft Antivirus がインストールされた環境で、起動時にクラッシュする問題を修正」。アンチウイルスがらみだそうです。
NV23-007 - Atermシリーズにおける複数の脆弱性 (NEC, 2023.07.03)
該当機種はサポートが終了した製品のため、製品の交換または以下のページで案内している回避策を適用してください。
https://www.aterm.jp/support/tech/2023/0627.html
》 ツイッターのスペース機能で刑事裁判の法廷音声が無断中継されたことを考えたー裁判の公開 (なか2656のblog, 7/10)
》 手順書の記載ミスで発生したJR東日本のシステム障害についてまとめてみた (piyolog, 7/7)
工事手順書の誤りはブレーカーを落とす対象の盤の指定記載であり、「盤NO6(CV6)」が正しいところ、「盤NO6(CV4)」と記載していた。CVとは関係者の中で盤の箇所を指す言葉として使用されていたもので、CV4と記載があったことから本来は盤No.6を対象とするところ盤No.4のブレーカーが切対象として担当者が誤認したとみられる。
今、たまたま「失敗のメカニズム 忘れ物から巨大事故まで」の amazon レビューを読んでいたところなのだが、 「夏未完」氏のレビューにある
第2章、第3章、第4章が興味深い。
・やり忘れるーーー記憶ーーボケ型
・やってしまうーー注意ーードジ型
この分類を知っただけでも現場のリーダーは対策が考えやすくなりそう。
今回の件は後者、ということになるのかな。確認すれば回避できたかもしれないんだよね。
》 ランサムウエアによる名古屋港のシステム障害についてまとめてみた (piyolog, 7/5)。 正直、「名古屋港統一ターミナルシステム NUTS がランサムウェアに感染だと?! NUTS!」 というのしか浮かばなかった。
名古屋港統一ターミナルシステムのシステム障害について (名古屋港運協会, 7/5 12:00)
名古屋港統一ターミナルシステムのシステム障害について(2) (名古屋港運協会, 7/5 18:00)
名古屋港統一ターミナルシステムのシステム障害について(3) (名古屋港運協会, 7/6 07:45)
バックアップからもマルウエア検出で復旧遅れ、名古屋港統一ターミナルシステム (日経 xTECH, 7/6)。バックアップから戻して復旧したのだが、 セキュリティチェックしながらの復旧な上に、 バックアップからもランサムウェアが見つかって、復旧が遅れたと。
名古屋港統一ターミナルシステムのシステム障害について (4) (名古屋港運協会, 7/6)
(お知らせ)名古屋港統一ターミナルシステムのシステム障害について (名古屋港運協会, 7/7)。最終報。 完全復旧のおしらせ。
》 メタの新SNS「スレッズ」はツイッターにとって代わる? 匿名性がないのは吉と出るか凶と出るか (日刊ゲンダイ / Yahoo, 7/7)
ITジャーナリストの井上トシユキ氏が言う。
(中略)
むしろ犯罪の温床になるリスクを排除しすることで、ツイッターで多数のフォロワーを持つ有名人を引き抜こうとしている。有名人にとっても有料化していないし、誹謗中傷リスクも減らせる。またツイッターの利用者には、推し活で使っている層も多いので、彼らは匿名性は不要ですからね。一般の人には投稿はしてもらわなくても、スレッズでフォローだけしてもらい、投稿はFacebookやInstagramでしてもらえたらいいという算段でしょう」
(Meta にとって) オイシイところだけ取りたい、ということかな。
》 【動画速報】福岡 大分で大雨の特別警報 各地の状況は (NHK, 7/10)。たいへんだ。
【気象情報】福岡 大分に大雨特別警報 最大級の警戒を (NHK, 7/10)
【避難情報】福岡 大分に緊急安全確保 命を守る行動を (NHK, 7/10)
》 Twitterのトラフィック減少をCloudflareのCEOが証言 (gigazine, 7/10)。まあ、そうなるような施策を自ら実施したりもしているしなあ。
》 バイデン政権、クラスター砲弾を含むウクライナ支援パッケージを発表 (航空万能論 GF, 7/8)
ただバイデン政権がDPICMの移転を決断したのは「塹壕戦対策」だけでなく「砲弾不足」も影響しているらしい。
ウクライナでの地上戦は砲撃戦と塹壕戦が主体で、地形を利用した塹壕は単一弾頭を使用する伝統的な間接射撃に対して耐性が非常に高く、戦車砲のような直接射撃は更に攻撃効果が低いため、ウクライナ軍が犠牲者を最小限に抑えつつロシア軍の防衛ラインを突破するには間接射撃による膨大な火力投射が必要で、これに使用する155mm砲弾は供給量に問題を抱えている。
この手の塹壕は「単一弾頭タイプの砲弾」ではなく「複数の子弾を内包したクラスター弾頭タイプの砲弾」が効果的で、DPICMが制圧できる範囲は通常砲弾の5発分以上と言われており、米軍在庫には300万発近いDPICMが保管されているため、塹壕戦でDPICMを使用すれば単一弾頭タイプの155mm砲弾の使用量を抑えることができるという寸法だ。
Mastodon Releases v4.1.3 (GitHub, 2023.07.06)。 CVE-2023-36460 CVE-2023-36459 CVE-2023-36461 CVE-2023-36462 に対応。
関連: Broken images after 4.1.3 / 4.0.5 / 3.5.9 upgrade #25776 (GitHub, 2023.07.07)。 Mastodon 4.1.3 / 4.0.5 / 3.5.9 は ImageMagick バージョン 6.9.7-7 以降に依存しているので注意。
》 服部吉次氏(78歳)、「当時8歳。小学2年生」でのジャニー喜多川からの性被害を告白
国民栄誉賞作曲家の次男がジャニー喜多川氏からの性被害を告白 「8歳の時に自宅部屋で…」 (日刊ゲンダイ, 7/5)
ジャニーズ性加害構造の萌芽は70年前に…一晩で5人の少年の間を渡り歩いた“軽井沢事件”の全貌 (日刊ゲンダイ, 7/6)
》 Biden Weighs Giving Ukraine Weapons Banned by Many U.S. Allies (NYTimes, 7/6)。ウクライナにクラスター弾提供しますかどうですか話。 US もウクライナもロシアもクラスター弾を否定していない国なので。
Mr. Biden was persuaded, officials said, after the Pentagon argued that they would provide Ukraine with an “improved” version of the weapon that has a “dud rate” of roughly 2 percent of all rounds fired.
Russia, officials noted, has been using its cluster munitions in Ukraine for much of the war, with a dud rate of 40 percent or more, creating a far larger hazard. The Ukrainians have also used cluster munitions, though their stockpile is a fraction of Washington’s.
Many bomb experts say the dud rates of American cluster munitions are likely far higher than Pentagon estimates.
典型的な「ということにしたいのですね」のように見える。
》 Twitter対抗「Threads」がサービス開始。500文字投稿可能、公開2時間で200万ユーザー突破 (PC Watch, 7/6)。ただし提供は Meta。 関連:
ツイート
書いておこうかな。
— さねとも(ぐれい)🐺 (@graywolf8192) July 7, 2023
どんなアプリでも
・連絡先へのアクセスは許可しない
・位置情報はむやみに許可しない
・他の権限も『自分が使いたい機能だけ』許可する
ちなみにFBは位置情報でも「友だちかも」にピックアップしてきます。社内バレ、学内バレの可能性が上がります。
Threadsを確認しにいった複数の勇気ある先見隊達から次々と
— ねおしの (@neosino) July 5, 2023
「タイムラインは無く、無限に知らん外人の投稿が流れてくる」「フォローしてる人だけを確認するすべが無い」「Twitterでいうところのおすすめタブ未満の物のみ見せられてる」等の阿鼻叫喚な報告があがってきており震えています
地獄か……?
先日放送し、いまツイッターに何が起こっているのか解説した回が好評だったので、そこの部分編集した動画無料公開しました。ご関心のある方はぜひ~。https://t.co/0qxPq68Koj
— 津田大介 (@tsuda) July 7, 2023
Androidに限定的な標的型攻撃か、リモートコード実行の「Critical」な脆弱性も 2023年7月のAndroidセキュリティ更新がリリース (窓の杜, 2023.07.06)。 セキュリティレベル 2023-07-01 および 2023-07-05。
「Zoom」に脆弱性、エンドツーエンド暗号化が不十分でメッセージの内容が漏洩する恐れ (窓の杜, 2023.07.03)、 ZSB-23025 06/29/2023 Exposure of Sensitive Information (Zoom)
Affected Products:
Zoom Desktop Client for Windows 5.15.0 and 5.15.1
Zoom Desktop Client for macOS version 5.15.0 only
Zoom Desktop Client for Linux version 5.15.0 only
Zoom Mobile App for iOS version 5.15.0 only
Zoom Mobile App for Android version 5.15.0 only
Zoom Rooms for Windows version 5.15.0 only
Zoom Rooms for macOS version 5.15.0 only
Zoom Rooms for iPad version 5.15.0 only
Zoom Phone Appliance version 5.15.0 only
Zoom Meeting SDK for Android version 5.15.0 only
Zoom Meeting SDK for iOS version 5.15.0 only
Zoom Meeting SDK for macOS version 5.15.0 only
Zoom Meeting SDK for Windows version 5.15.1 only
Zoom Video SDK version 1.8.0 only
最新版 (Zoom Desktop Client for Windows 5.15.2 等) では修正されている。
SE202301: セキュリティアドバイザリー: CVE-2023-27395 等 6 点: 米 Cisco Systems 社の協力により SoftEther VPN の脆弱性を修正 (SoftEther, 2023.06.30)。 SoftEther VPN 4.41 Build 9787 RTM 以前、 PacketiX VPN 4.41 Build 9787 RTM 以前に 6 件のセキュリティ欠陥。
SoftEther VPN プロジェクトは、2023 年 4 月から 6 月にかけて、米国 Cisco Systems, Inc. による高度なコードレビューと技術協力を受け、SoftEther VPN のコードに存在していたいくつかの脆弱性を修正しました。
(中略)
今回修正した脆弱性は、CVE-2023-27395、CVE-2023-22325、CVE-2023-32275、CVE-2023-27516、CVE-2023-32634、CVE-2023-31192 です。これらは、いずれも、米国 Cisco Systems, Inc. 社による、SoftEther VPN のコードレビューによって発見されたものです。
VPN 4.42 Build 9798 RTM、PacketiX VPN 4.42 Build 9798 RTM で修正されている。 バージョン更新履歴 (ChangeLog) (SoftEther) も参照。
完全に見逃していた (駄目すぎる)。
(緊急)BIND 9.xの脆弱性(メモリ不足の発生)について(CVE-2023-2828) - バージョンアップを強く推奨 - (JPRS, 2023.06.22)。 BIND 9.18.16 / 9.16.42 で対応。
(緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2023-2911) - バージョンアップを強く推奨 - (JPRS, 2023.06.22)。serve-stale 有効 (デフォルト無効) かつ stale-answer-client-timeout が 0 の場合に該当。BIND 9.18.16 / 9.16.42 で対応。
》 The Ukraine War Changed This Company Forever (NYTimes, 7/5)。戦争が経営を直撃したノキアンタイヤが、ルーマニアのオラデアに新工場建設を決めるまでの話。 興味深い。
For Nokian Tyres, which first sold shares on the Helsinki stock exchange in 1995, the new reality struck like a hammer blow. Roughly 80 percent of Nokian’s passenger car tires were manufactured in Russia. And the country accounted for 20 percent of its sales.
The perils of over-concentration hit home, Mr. Moisio said, “when your company loses billions.”
戦争前は、生産の 80%、販売の 20% がロシアだったと。
》 ウクライナ軍はバフムートで旧陣地奪還、ザポリージャでロボタイン攻略を開始 (航空万能論 GF, 7/3)。優勢ではあるものの、大勝ちしているという状況では全くない模様。 関連:
Minefields and Menace: Why Ukraine’s Pushback Is Off to a Halting Start (NYTimes, 6/26)
21 Miles of Obstacles (NYTimes, 6/28)。図解、ロシア軍側防衛線。
》 日本のサイバー防衛 立法や予算措置さらに議論よりも以前にすべきことが山積みだった (一田和樹のメモ帳, 6/26)
》 【備忘録】日本データベース学会「2023年度第1回DBSJセミナー「AI生成コンテンツ利用における法的課題や活用事例」」の聴講メモ (なか2656のblog, 7/5)
》 DNS Terminology draft-ietf-dnsop-rfc8499bis-08 (IETF, 7/4)
Bailiwick: "In-bailiwick" and "Out-of-bailiwick" are modifiers used to describe the relationship between a zone and the name servers for that zone. The dictionary definition of bailiwick has been observed to cause more confusion than meaning for this use. These terms should be considered historic in nature.
おぉ〜、本当に historic って書いてある。 05 からそうなっているのだそうで。
》 「Twitter」の迷走がもはや災害級、避難民が安否情報を書き込む掲示板が設置される タイムラインから消えたフォロワーはここで探せ (窓の杜, 7/5)。Twitter 関連:
Twitterに厳しい一時制限 未認証アカの閲覧件数は「1日600件まで」── 「Twitter終わり」「API規制」トレンドに【更新:1日1000件に緩和】 (ITmedia, 7/2)
Twitter、閲覧制限について予告しなかったのは「スクレイピング対策を回避させないため」 (ITmedia, 7/5)
Twitterは「開発頼まれても断りたいレベル」? エンジニア視点で意見続々 (ITmedia, 7/5)
》 文科省、小中高校の生成AI利用に暫定ガイドライン発表。活用方法の例や、読書感想文などでの留意点も (Internet Watch, 7/5)
》 NTT東西、特殊詐欺対策を強化。悪質な事業者が保有する「在庫番号」を一括停止に (Internet Watch, 7/5)
総務省が6月27日日に発表した「電気通信事業者による特殊詐欺に利用された固定電話番号等の利用停止等スキーム」(「番号停止スキーム」とも)の改定に基づくもの。
》 北大東島に空自レーダー配備へ 防衛省、村の誘致受け「適地」と判断 部隊30人程度 (琉球新報, 7/5)
北大東村への航空自衛隊の移動式警戒管制レーダー配備計画を巡り、防衛省は4日までに、調査の結果、配備に適していると判断したことが複数の関係者への取材で分かった。
関連:
<独自>北大東島に移動レーダー 防衛省、配備向け適地調査へ 中国空母の監視強化 (産経, 3/6)
固定式レーダーを置いておらず、防空態勢の空白地域となっている太平洋側の島嶼部について、防衛省は中期防衛力整備計画の策定時、東京都の小笠原諸島への移動式レーダーの展開基盤の整備を先行させることを念頭に置いていたが、地元の理解を得られていない。一方、北大東村議会は昨年12月、自衛隊の誘致を求める意見書を全会一致で可決している。
防衛省は北大東島への移動式レーダーの配備は地元の理解を得やすいと判断し、小笠原諸島より優先する方針に転換しつつある。
本当は小笠原に配備したいのだけど、当面無理なので、 次善の策として北大東島に配備するということみたい。
【深掘り】「手薄」な太平洋で中国監視へ 北大東島に空自レーダー 歓迎、戸惑い、警戒感 (琉球新報, 7/5)
北大東島の警戒管制レーダー配備 20日に住民説明会開催へ (NHK, 7/4)
ミサイル!? いえ探知する方です 空自の「移動式レーダーサイト」第2移動警戒隊に密着 (乗りものニュース, 2022.07.02)。J/TPS-102A。
》 韓鶴子総裁「岸田を呼びつけて教育を受けさせなさい」内部音声を独自入手「日本の政治は滅びるしかないわよね」旧統一教会 (TBS, 7/3)。あいかわらずの邪教ぶり。関連:
旧統一教会トップ・韓鶴子氏発言に松野官房長官「報道承知もコメント差し控える」 (TBS, 7/4)。岸田政権は否定も抗議もできないと。
鈴木エイト「私を脅迫するのは “安倍シンパ”」安倍元首相銃撃事件から1年、統一教会「最後のあがき」と「本家の資金不足」 (SmartFLASH, 7/4)
特に、エイト氏が追及するのは菅義偉前首相だ。
「教団の誘いで米国へ外遊した武田良太氏のほか、下村博文氏や山谷えり子氏など、疑惑の大物議員はたくさんいます。そして、その頂点が菅氏ですよ。
私は、一時期、統一教会と関係が離れていた安倍元首相を再び教団と結びつけた議員の一人は、菅氏だと睨んでいます。多くの議員が亡くなった安倍元首相に “罪” をなすりつけていますが、自ら教団にすり寄っていた議員はもっといるはずです」
ところが、山上被告は、僕が統一教会と安倍政権について書いた記事を熱心に読んでいたということを知りました。さらに、山上被告のアカウントが消えたせいで文面は残っていませんが、じつはツイッターのダイレクトメッセージで、私が犯行前の山上被告と直接やりとりしていたこともわかりました。
そのため、熱狂的な “安倍シンパ” の間では『鈴木エイトが犯行を教唆した』という陰謀論が作られているんです。教団より今は彼らに対して身の危険を感じます。
質問重ねるも旧統一教会を詰め切れない文化庁 解散命令請求に立ちはだかる「組織性」の立証 (東洋経済, 7/5)
旧統一教会団体、対策弁護士連絡会を提訴へ 開催催し巡る声明で (毎日, 7/4)
全国弁連は6月15日、世界平和女性連合が開催を予定していた「留学生日本語弁論大会」について、全国の自治体に会場の使用許可を出さないよう求める声明を発表した。世界平和女性連合は全国弁連の声明で「ボランティア組織を仮装した旧統一教会の資金集め、人集めのための団体」と指摘されたことについて「創設者は同じだが、活動も運営も別個の独立した国連NGOだ」などと主張し、声明は事実誤認で名誉毀損(きそん)に当たるとしている。
世界平和女性連合 = WFWP は「関連団体」だという建前。
旧統一教会「信者向けネット会議」で飛び出した爆弾発言のすべて (FRIDAY, 2022.09.28)。関連団体「天宙平和連合」= UPF の事務総長が、統一教会の信者向けネット会議で説明。
魚谷事務総長のこれらの発言は、「ファイヤーウォールなる壁で隔てられているだけで、教団と関連団体は一体である」と受け取れる。長年教団を追及してきたジャーナリストの鈴木エイト氏が言う。
「“関連団体”の幹部であるはずの魚谷氏が教団の会議に出席し、しかも、ファイヤーウォールなどという言葉を用いて危機的状況を情報共有している。このこと自体が、教団とその他の関連団体が一体であることを示す何よりの証拠です」
出ました。Windows 7 / 8 / 8.1 および macOS 10.12 / 10.13 / 10.14 がサポートされるのは Firefox 115 までだそうです。該当者は ESR 115 に移行しましょう。
Firefox 115 がリリースされた (mozillaZine, 2023.07.05)
Firefox for Android 115 がリリースされた (mozillaZine, 2023.07.05)
Firefox users on Windows 7, 8 and 8.1 moving to Extended Support Release (Mozilla)
Firefox users on macOS 10.12, 10.13 and 10.14 moving to Extended Support Release (Mozilla)
Firefox ESR ダウンロード (Mozilla)
Thunderbird 102.13.0 公開。セキュリティ修正を含みます。
Thunderbird 102.13.0 がリリースされた (Mozilla, 2023.07.08)
また Firefox 115.0.1 / ESR 115.0.1 も公開。こちらは不具合修正のみ。
Firefox 115.0.1 がリリースされた (Mozilla, 2023.07.08)。「Kingsoft Antivirus がインストールされた環境で、起動時にクラッシュする問題を修正」。アンチウイルスがらみだそうです。
Firefox 115.0.2 / ESR 115.0.2 公開。セキュリティ修正を含みます。
Firefox 115.0.2 がリリースされた (mozillaZine, 2023.07.12)
Thunderbird 115.0 も公開されましたが、「テスト目的での利用ではないユーザーは、現時点では Thunderbird 115 へ更新するべきではない」。
Thunderbird 115.0 がリリースされた (mozillaZine, 2023.07.12)
》 マイナカード 暗証番号なしで交付へ 認知症や高齢者の声受け (NHK, 7/4)。まさに「本末転倒」。 健康保険証をやめなければよいだけ。
》 音楽プロデューサー松尾潔氏がジャニーズ〝性加害〟言及で契約終了 山下達郎も同意 (東スポ, 7/1)。あいかわらずショボい業界。関連:
ジャニーズ批判で事務所クビ、山下達郎氏に飛び火のワケ (黒崎さとし / 日刊サイゾー, 7/2)
松尾氏が契約を中途解約されたのは、スマイルカンパニー(https://www.smile-co.jp)。 (中略) そもそも前社長の小杉理宇造氏は周水氏の父親で、ジャニーズ・エンタテイメント(2019年事業終了)の代表取締役を務めていたこともある人物。70年代からジャニー喜多川氏と知り合いで、近藤真彦の担当ディレクターを務めていた時期もある。1982年の「ハイティーン・ブギ」は、山下達郎氏の作曲だ。
ジャニーズべったりですか……。
ジャニーズの性加害問題への言及が原因か 有名プロデューサーが事務所に契約解除される 元社長は過去に「ジャニーさん大好き」など発言 (ねとらぼ, 7/4)
山下達郎もジャニーズ圧力に加担か――松尾潔氏の“告発”に、最も頭を抱えているのは誰? (サイゾーウーマン, 7/4)
》 Ukraine Situation Report: Russian SAMs Can’t Stop This Storm Shadow (The War Zone, 7/1)
》 Ukrainian Leopard 2 Tank Seen Covered In Explosive Reactive Armor (The War Zone, 7/1)
Wagner’s Mutiny Has Century-Old Echoes of Another Russian Debacle (NYTimes, 6/28)。1917 年にも似たようなことが起きていたね、という記事。
ロシア軍首脳、反乱知っていた プリゴジン氏を支持か―米報道 (時事, 6/29)。NYTimes 報道を引用。 こちら:
Russian General Knew About Mercenary Chief’s Rebellion Plans, U.S. Officials Say (NYTimes, 6/27)
Who Knew About Prigozhin’s Wagner Revolt Before It Happened? (NYTimes, 6/28)。 挙げているのは、 セルゲイ・スロヴィキン将軍、ビクトル・V・ゾロトフ将軍、米情報機関。
モスクワ進軍、プリゴジン氏は直前に決断か…当初の計画には含まれず (読売, 6/30)。NYTimes 記事はこちら: U.S. Advised Ukraine Against Covert Attacks in Russia During Mutiny, Officials Say (NYTimes, 6/29)
ルカシェンコが明かすプリゴジン説得緊迫の舞台裏、嘘がバレたプーチンの赤恥 (木村 正人 / JBpress, 6/30)
ロシアFSBにプリゴジン氏の暗殺指示か、ウクライナ情報総局 (CNN, 7/1)。発信者は「ウクライナ国防省のブタノウ情報総局長」。「オンラインメディア「ウォー・ゾーン」との会見で述べた」。
これですかね: Russia Plotting To Assassinate Prigozhin, Ukraine’s Spy Boss Tells Us (The War Zone, 6/29)
》 Cracking Down on Dissent, Russia Seeds a Surveillance Supply Chain (NYTimes, 7/3)
The Times obtained hundreds of files from a person with access to the internal records, about 40 of which detailed the surveillance tools.
One program outlined in the materials can identify when people make voice calls or send files on encrypted chat apps such as Telegram, Signal and WhatsApp. The software cannot intercept specific messages, but can determine whether someone is using multiple phones, map their relationship network by tracking communications with others, and triangulate what phones have been in certain locations on a given day.
暗号化アプリを使っていても、トラフィック分析で関係性を暴露されると。 おそロシア。
![[セキュリティホール memo]](/~kjm/security/memo/memologo-s.png)