Last modified: Mon Nov 18 18:13:15 2024 +0900 (JST)
このページの情報を利用される前に、注意書きをお読みください。
》 紙の領収書が復活 インボイス制度を緩和すべき、これだけの理由 (ITmedia, 10/31)
今回の混乱の背景には、電子帳簿保存法とインボイス制度という、異なる目的を持つ2つの法制度の相克がある。会計帳簿などの電子保存を認める電子帳簿保存法は、十数年かけて何度も改正を重ねてきた。政府のIT化推進という大方針の下、企業の生産性向上を目指し、段階的に規制緩和を進め、使いやすい制度に姿を変えてきたのだ。
法人カードの利用データを領収書の代わりとして認める2020年の改正は、その一つの到達点だった。骨太の方針でも掲げられたデジタル化推進の流れに沿った改正だ。
一方、インボイス制度は税の公平性確保を目指して導入された。取引の正確な消費税額と消費税率の把握を目的に、これまで必須ではなかった領収書をエビデンスとして保管することが求められる。利便性の向上とは全く異なるベクトルで生まれた制度だ。
結果として、電子帳簿保存法で認められたデジタル化の取り組みの多くが、インボイス制度の要件を満たせない事態となった。「制度設計の段階で、これまでのデジタル化の流れとの整合性が十分に検討されなかった」というのが、日本CFO協会の見方だ。
現場を十分理解せずにオラオラな改革を実施したせいで現場が混乱、という、よくある話ではある。
》 OpenBSD 7.6 Errata 004: RELIABILITY FIX: October 31, 2024 arm64 (OpenBSD, 10/31)。「Updating Apple Silicon system firmware to the latest version cripples OpenBSD. This disabled the onboard WiFi.」
》 Twitter終焉までのノンフィクション『TwitterからXへ 世界から青い鳥が消えた日』が11月に出る (YAMDAS現更新履歴, 9/25)。来月です。
》 現代暗号学の礎を築いた女性の生涯を描く傑作評伝の邦訳が(ようやく!)出た (YAMDAS現更新履歴, 10/29)。 コードブレイカー エリザベス・フリードマンと暗号解読の秘められし歴史 (みすず書房)
》 ビッグテック企業は“ガザのジェノサイド”にどのように加担しているのか (p2ptk.org, 10/15)。Meta、Google、Amazon (AWS)、Microsoft。
》 EU「ユーザにソフトウェアを自由に選択させなさい」Apple「イヤだね」 (p2ptk.org, 10/31)
確かにAppleは、その力を賢明に行使して、質の高いソフトウェアだけをユーザに届けることはできる。しかし一方で、その力を振りかざしてユーザを抑圧してもきた。中国ではiPhoneから機能するプライバシー保護ツールをすべて排除し、民主化運動の組織化に使われていたツールを骨抜きにした。
この問題は中国に限らない。Appleはプライバシー重視の姿勢を世界中で大々的に宣伝し、実際にサードパーティによる追跡を阻止して約束を果たした(その結果、Facebookに100億ドルもの損失を与えた)。しかしその一方で、自社の広告ネットワークのためにiOSユーザを密かに監視し、その事実を隠蔽していたのだ。
》 2024年選挙、最大の脅威は「AI/ディープフェイク」ではなく「杜撰なコンテンツモデレーション」である (p2ptk.org, 10/30)
》 ドナルド・トランプを支持する反政府極右組織がFacebook上で人材募集・投票箱の監視を推進している、一方のFacebookは「ポリシー違反のグループを削除している」と主張するも関連組織のページが自動作成されているとの指摘 (gigazine, 10/30)
》 Windows10にて特定のアプリが起動しない不具合。更新プログラムに起因 (ニッチなPCゲーマーの環境構築Z, 10/31)。 「2024年9月25日にWindows10のWindows Updateに配信されたプレビューリリースKB5043131以降」で発生。 KIR で対応。
》 Steamでカーネルレベルのチート対策ソフトウェアを使用している場合の開示が必須に (gigazine, 10/31)
》 ロシアがアメリカの禁輸品であるNVIDIAのAIチップを搭載したサーバー460億円相当をインド経由で輸入していたことが判明 (gigazine, 10/29)
》 Intelのパット・ゲルシンガーCEOが台湾に関する発言でTSMCを怒らせて値引きを失っていた事が判明 (gigazine, 10/30)
》 ディズニーをクビになった元従業員がシステムをハッキング、レストランのメニューのアレルゲン情報を削除するなど悪行三昧 (gigazine, 10/31)
》 イーロン・マスクらの資金をもとにカマラ・ハリス候補の支持する政策を誤認させるような偽広告キャンペーン「Progress 2028」展開中 (gigazine, 10/30)
》 イーロン・マスクや共和党有力者たちが訴訟を利用して偽情報を研究している団体を黙らせているとの指摘 (gigazine, 10/29)
》 トラック輸送量、残業規制後も維持 大型車・共同輸送寄与 (日経, 10/30)
》 弊社が運営する「カレルチャペック紅茶店公式通販サイト」への不正アクセスによる 個人情報漏えいの恐れに関するお詫びと調査結果のご報告 (カレルチャペック, 10/30) (魚拓)
(2) クレジットカード情報漏洩の可能性があるお客様
2020年4月26日~2024年5月21日の期間中に「カレルチャペック紅茶店公式通販サイト」においてクレジットカード決済をされたお客様58,407名※で、漏洩した可能性のある情報は以下のとおりです。
・カード名義人名
・クレジットカード番号
・有効期限
・セキュリティコード
※漏洩人数は複数回クレジット決済されたお客様を含めた延べ人数です
セキュリティコードも取られてます。再発行必須。
(1)原因
「カレルチャペック紅茶店公式通販サイト」のシステムの一部の脆弱性をついたことによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため。
サーバー側のアプリが改ざんされたということかな。
》 集英社が8つの海賊版サイトを告発するためGoogle・PayPal・VISAに情報開示請求 (gigazine, 10/30)
》 ロシアの裁判所がGoogleに20000000000000000000000000000000000ドルの罰金を科す、ロシア国営メディアのYouTube上でのブロックが数年間にわたり続いているため (gigazine, 10/30)
》 「TikTokやMetaは未成年者の保護を怠っている」として消費者権利団体から800億円の罰金を請求される (gigazine, 10/30)。「ブラジルの消費者権利団体」。
》 Temuは偽造品や安全でない製品の取り扱いを管理できていないとして欧州委員会が調査に乗り出す (gigazine, 10/31)
》 出前館の障害理由、「暗号資産マイニングマルウェア」に感染したため (PC Watch, 10/30)
》 Apple Watchの心電図機能なんて飾りだと思ってました。ゴメンナサイ (やじうまミニレビュー, 10/31)
この問診の際に、医者に「Apple Watchを使っているんですね?」と尋ねられたのだ。「その心電図機能は使ってください」とのこと。また症状が現れた際はApple Watchで計測して、怪しいと思ったらまた病院に行けばいい。医者としても、Apple Watchの心電図機能は認知されているということだろう。
》 Intel製CPUの不具合対応BIOSアップデートについてQ&A形式でお答え (窓の杜, 10/31)
》 「ガザ地区も我々の土地だ」─入植運動をイスラエル政府は支援している (クーリエ・ジャポン, 10/30)。まるで「ノンマルトの使者」のようなんだよなあ……。
キリヤマ「ウルトラ警備隊全員に告ぐ。ノンマルトの海底都市は、完全に粉砕した。我々の勝利だ。海底も我々人間のものだ!これで再び海底開発の邪魔をする者はいないだろう」
》 マルコム・グラッドウェルが語る『ティッピング・ポイント』の25年後 (クーリエ・ジャポン, 10/30)、 マルコム・グラッドウェル「“誰が”社会を動かしているかに注目している」 (クーリエ・ジャポン, 10/30)。 新刊「リベンジ・オブ・ザ・ティッピング・ポイント」の件など。
グラッドウェルの不安はすぐに吹き飛んだ。というのも、改めてデビュー作に向き合ってみると、ただ単に加筆するだけで終わらせたくないという気持ちがわいてきたからだ。それどころか、グラッドウェルは新作を書き上げたくなったのだった。これは『ティッピング・ポイント』のアコースティック・バージョンなどではない。むしろ、リヴィジョニスト・バージョンと言えるだろう。
出てました。
Firefox 132 がリリースされた (mozillaZine, 2024.10.30)
Firefox for Android 132 がリリースされた (mozillaZine, 2024.10.30)
Thunderbird 128.4.0 ESR がリリースされた (mozillaZine, 2024.10.30)
Chrome 130.0.6723.91/.92 (Windows / Mac) および 130.0.6723.91 (Linux) 公開。 2 件のセキュリティ修正を含む。関連:
Chrome for Android Update (Google, 2024.10.29)。Chrome 130 (130.0.6723.86) for Android。
》 どうする立憲民主党? 来夏参院選で野党共闘「候補一本化なら29勝3敗」大勝予測の衝撃 (日刊ゲンダイ, 10/30)
野党候補の一本化が功を奏しているのは明らかだ。今回の衆院選、実質的に共闘の枠組みができていた新潟では立憲が全勝。宮城も5区以外は全勝だった。一方で、野党候補が乱立してしまった東京24区は、7533票差で裏金議員の萩生田光一元政調会長の当選を許してしまった。
滋賀2区 もそうなんだよね。一本化できていれば自民に勝てたよなあ。
3 件です。いずれも patch が出ています。
FreeBSD-SA-24:17.bhyve - Multiple issues in the bhyve hypervisor (FreeBSD, 2024.10.29)。回避方法なし。
FreeBSD-SA-24:18.ctl - Unbounded allocation in ctl(4) CAM Target Layer (FreeBSD, 2024.10.29)。回避方法なし。
FreeBSD-SA-24:19.fetch - Certificate revocation list fetch(1) option fails (FreeBSD, 2024.10.29)。--crl オプションではなく 環境変数 SSL_CRL_FILE を使って指定することで回避できる。
》 【韓国軍が北朝鮮へ挑発行為か】休戦協定破る平壌上空での無人機飛行の可能性、北朝鮮調査報告書を読む (Wedge ONLINE, 10/29)
北朝鮮が示した状況証拠から、平壌上空に侵入して宣伝ビラを散布した無人機は、韓国軍ドローンの可能性が大きいと判断されるのではないか。(中略) この問題は、北朝鮮に対する強行姿勢を崩さない尹錫悦政権が休戦協定違反を犯してまで挑発し、北朝鮮がそれに武力で反撃するという、これまで想定されていたことと正反対のパターンで最悪な状況が生まれるかもしれないことを、我々に突きつけてきた。新たに政権に就く我が国の政治家たちには、このことを直視して政権運営にあたってもらいたい。
関連: このままだと次の戦場は朝鮮半島になる【コラム】 (ハンギョレ, 10/28)
激変する国際情勢のなかで、尹政権が推進してきた韓米日3カ国協力の強化路線全体を否定するつもりはない。(中略) しかし、米日が口にする美しい賛辞に酔った尹政権は暴走するのみだった。(中略)
懸念されていたとおり、尹政権発足からわずか2年半で南北関係は破綻し、朝ロ同盟が復活し、30年あまり力を注いできた北方外交は水泡に帰した。
「北朝鮮軍数千人、ロシアのクルスクに到着」…戦場投入されるかに注目集まる (ハンギョレ, 10/28)
ウクライナ「ロシアが派兵北朝鮮軍を最前線に民間トラックで輸送中」 (ハンギョレ, 10/29)
派兵北朝鮮軍、本当に「最精鋭」?…WSJ「背が低く痩せており栄養失調を反映」 (ハンギョレ, 10/29)。棄民政策のようにも思えるんだよなあ。
尹大統領、ウクライナに韓国政府代表団派遣「北朝鮮軍の実戦投入、早くなる可能性も」 (ハンギョレ, 10/29)
韓国政府「ウクライナに軍参観団」波紋…与党「国会の同意不要」野党「戦争ごっこか」 (ハンギョレ, 10/29)
》 iPhoneで通話の録音が可能に 使い方は (ITmedia, 10/29)。iOS 18.1 から。
「Apple Intelligence」(日本では2025年に対応予定)を使えば、音声の文字起こしをしたり、内容を要約したりすることもできるようになる。
関連: 生成AI「Apple Intelligence」米国で開始 写真や文章のAI編集機能が無料で (ITmedia, 10/29)
対応端末は、iPhone 16シリーズ、iPhone 15 Pro/Pro Max、A17 ProまたはM1以降を搭載したiPad、M1以降を搭載したMac。
》 Skebがクリエイターに“適切な納税”呼び掛け 「市区役所からの調査依頼が毎月あり、事務をひっ迫」 (ITmedia, 10/29)
》 宮城 女川原発2号機 きょう再稼働 福島第一原発と同タイプで初 (NHK, 10/29)。BWR。
安全対策工事をめぐっては、東北電力は当初、完了時期を2016年3月と発表していましたが、追加工事などを理由にその後、7回の見直しが行われ、ことし5月下旬にようやく完了に至りました。
震災後の安全対策工事にかかった費用は、およそ5700億円にのぼるということです。
また、テロなどに備えるための「特定重大事故等対処施設」は、再稼働に必要な原発の工事計画の認可から5年以内の設置が義務づけられていて、期限となる再来年12月までに、およそ1400億円かけて建設する予定だということです。
》 急速に向上したウクライナのドローン開発能力、適応を迫られる米企業 (航空万能論 GF, 10/23)
》 InstagramやYouTubeやTikTokが「若者を依存症にさせた」と学校に訴えられて敗訴、150件以上の損害賠償請求に直面 (gigazine, 10/28)
》 中国が半導体などの重要産業に必要なレアメタルの支配力を強化しており外国企業にとって脅威となっている (gigazine, 10/29)
》 バイデン政権が国家の安全を脅かす可能性のある中国のAI技術等の取引・投資を制限する規則を策定、2025年1月から施行 (gigazine, 10/29)
》 「TSMCの半導体がHuaweiのAIチップに使われていた」という報道の直後にTSMCが中国企業「SOPHGO」への出荷を停止、SOPHGOが仲介して半導体を作らせていた可能性が浮上 (gigazine, 10/29)
》 Pentagon Runs Low on Air-Defense Missiles as Demand Surges (Wall Street Journal, 10/28)。誘導弾は複雑で高価。そう簡単には製造できない。 DeepL 訳:
スタンダード・ミサイルの製造元であるRTX社が製造できるのは、最大でも年間数百発だとアメリカの国防当局者は言う。 RTX社によれば、少なくとも14の同盟国もスタンダード・ミサイルを購入しているという;
関連:
防衛企業の連携によって深まる日米同盟 (Raytheon, 2021.09.15)
レイセオン・ミサイルズ&ディフェンスと日本の防衛産業との提携が、絶えず重要視されるようになったのは1960年代以降のこと。三菱電機が地対空ミサイル「ホーク」のライセンス生産を始めたのがきっかけだった。現在、同社は日本の艦艇を巡航ミサイルから守るESSMブロック1ミサイルをレイセオン・ミサイルズ&ディフェンスと共同生産している。また、三菱重工業は長年にわたり、日本を守るペトリオット防空ミサイル防衛システムを製造してきた。さらに、他の提携事業でもSM-3ブロック IIAの共同開発及び製造を手掛けている。
スタンダード・ミサイル (SM-2, SM-3, SM-6) は輸入 (FMS) っぽいなあ。 これもライセンス生産するようにしておかないとマズいのでは。 おいくら万円かかるのか知らんけど。
海自が新たに調達するSM-6はまや型護衛艦向け、2026年から搭載予定 (航空万能論 GF, 2022.11.05)
別添資料2 分野別防衛産業の現状 (防衛装備庁 防衛生産・技術基盤戦略について (過去の政策))。 防衛生産・技術基盤研究会最終報告 -「生きた戦略」の構築に向けて- (防衛生産・技術基盤研究会, 2012.06) の別添資料のようで。
SM-3 については記述があるが、なぜか SM-2 の記述が無い。
》 イスラエル、イランを空爆 (10/26)。 防空システムやミサイル製造施設などを破壊?
Israel’s Retaliation Strikes On Iran Have Begun (Updated) (The War Zone, 10/25)
Israel’s Reprisal Strike Carefully Calculated, Unclear If Jets Ever Flew Over Iran (The War Zone, 10/26)
Israeli Strikes Knocked Out All Of Iran’s S-300 Air Defense Systems: Officials (The War Zone, 10/28)
Israel’s Strike on Iran Also Hit Russian Arms Industry’s Once-Strong Image (Wall Street Journal, 10/28)
イスラエルのイラン空爆 “ミサイル製造能力にダメージ”報道 (NHK, 10/27)
イスラエル、イラン空爆に戦略的重要性-米大統領選後の攻撃の布石か (ブルームバーグ, 10/28)
イスラエルの攻撃、イランのぜい弱性浮き彫りに (Wall Street Journal, 10/28)
【解説】事態激化か弱腰の印象与えるか……イランの難しい選択 BBC国際編集長 (BBC, 10/27)
イラン最高指導者、イスラエルの攻撃を「誇張や過小評価すべきでない」 対応めぐり慎重姿勢 (BBC, 10/28)
アングル:イスラエルの「限定的」対イラン反撃、背後に米政権必死の外交努力 (ロイター, 10/28)
出ました。
全体
iOS / iPadOS
About the security content of iOS 18.1 and iPadOS 18.1 (Apple, 2024.10.28)
About the security content of iOS 17.7.1 and iPadOS 17.7.1 (Apple, 2024.10.28)
tvOS
About the security content of tvOS 18.1 (Apple, 2024.10.28)
watchOS
About the security content of watchOS 11.1 (Apple, 2024.10.28)
visionOS
About the security content of visionOS 2.1 (Apple, 2024.10.28)
macOS
About the security content of macOS Sequoia 15.1 (Apple, 2024.10.28)
About the security content of macOS Sonoma 14.7.1 (Apple, 2024.10.28)
About the security content of macOS Ventura 13.7.1 (Apple, 2024.10.28)
そういえば Safari も遅れて出てました。
About the security content of Safari 18.1 (Apple, 2024.10.29)
》 Windows 11 24H2 プレビュー更新プログラム KB5044384 方面
KB5044384がインストールできない・失敗する不具合。Windows11 24H2にて発生 (ニッチなPCゲーマーの環境構築Z, 10/28)
KB5044384をインストールするとタスクマネージャーが壊れる。プロセス数が0に。Windows11 24H2でのみ不具合発生 (ニッチなPCゲーマーの環境構築Z, 10/28)
》 デルタ航空がCrowdStrikeを提訴、フライトを大混乱に陥らせたブルースクリーン問題で (gigazine, 10/28)
》 パスワードを紛失して開けなくなったZIPファイルを30年越しにクラックした方法とは? (gigazine, 10/26)
》 ウィキメディア財団が訴えられた裁判に関するWikipediaの記事が裁判所の命令によって公開停止に (gigazine, 10/28)
今回問題となったのは、Asian News Internationalがウィキメディア財団に対して起こした訴訟についてまとめた、「Asian News International vs. Wikimedia Foundation(Asian News International対ウィキメディア財団)」という記事です。
》 中国のハッカーがアメリカ大統領選のハリス陣営とトランプ陣営を狙って不正アクセスを試みていたことが判明 (gigazine, 10/28)
》 イーロン・マスクはプーチン大統領と2022年以来連絡を取っており中国のために台湾でStarlinkのサービスを提供しないよう要請されている (gigazine, 10/25)
》 米国 日米韓三カ国国家安全保障アドバイザー会議共同声明 (まるちゃんの情報セキュリティ気まぐれ日記, 10/27)
》 米国 ODNI FBI CISA 不在者投票の投票用紙を破っている映像はロシアの活動家によるフェイク... (まるちゃんの情報セキュリティ気まぐれ日記, 10/27)
》 ウクライナの動員年齢引下げは可能か? この部分に関する複雑な事情 (航空万能論 GF, 10/27)。人口ピラミッドの件。
独立を果たした1991年の人口は約5,200万人で世界でも22番目に人口が多い国だった (中略) ソ連崩壊後のウクライナは経済的に不安定で移民が増加したため出生率が極端に低下し、20歳~30歳の若者が非常に少ない (中略) もし動員年齢を20歳まで引き下げれば将来の人口数に影響を与えるだろう。2023年の出生率は2021年と比較して32%も低下しており、国連の報告によればウクライナ人の死亡率は出生率の3倍に達し、今世紀末までにウクライナの人口は1,500万人まで減少する可能性を示唆した
》 代表執行役の異動について (オリンパス, 10/28)
当社は、シュテファン・カウフマン氏が違法薬物を購入していた旨の通報を受け、外部の法律事務所とも相談の上、直ちに事実確認を行うとともに、捜査機関に対して報告し、捜査に全面的に協力してまいりました。内部調査の結果、当社取締役会は、シュテファン・カウフマン氏が当社の行動規範、コアバリューそして企業文化とは相容れない行為をしていた可能性が高いと全会一致で判断したことから、同氏に辞任するよう求めたところ、同氏がこれに応じ、取締役会が受理したことによるものです。
関連:
オリンパス 社長兼CEOが辞任 違法薬物購入の通報受け内部調査 (NHK, 10/28)
警視庁によりますと、9月末ごろオリンパス側から「シュテファン・カウフマン社長兼CEOが違法薬物を購入している疑いがある」という相談が寄せられたということです。
オリンパス カウフマン社長兼CEOが辞任 “違法薬物購入”の疑い 今年9月オリンパスから警視庁に「違法薬物を購入していた」との相談 (TBS, 10/28)
警視庁はこの相談がある前、匿名の情報提供を受け、今年6月にカウフマン氏の自宅を家宅捜索していましたが、違法薬物などは発見されなかったということです。
》 OpenAIの文字起こしAI「Whisper」、医療現場での利用に研究者らが警鐘 (ITmedia, 10/27)
NablaはWhisperが幻覚を起こす可能性を認識しており、この問題に対処していると述べている。だが、このツールは患者のプライバシーを保護するため、文字起こしの元となる音声録音は削除しており、音声と文字起こしの違いを確認することはできない。
「患者のプライバシーを保護するため」ではなく「不具合を隠蔽するため」なのでは。
》 出前館、26日からシステム障害発生中 サービスが利用できない状態 いまだ復旧のめど立たず (ITmedia, 10/25)
》 トヨタ出身のエンジニアが作った都市型小型EV「Lean3」は2025年に90万円前後で発売 (スマートモビリティJP, 10/16)。オシャレな3輪車だね。個人的には mibot の方に未来を感じるけど。
》 X(旧Twitter)、開発者向けAPIの基本料金を2倍に値上げ。個人開発者に激震 (Internet Watch, 10/28)。 Basic プラン基本料金 $100/月 → $200/月だそうで。いいお値段ですなあ。 いよいよ最後?
》 「闇バイト」募集の大部分はXなどのSNS、「即日即金」「ホワイト案件」といったキーワードに注意―警察庁が特徴を発表 (Internet Watch, 10/25)
XなどのSNSに流れる闇バイトの求人情報においては、以下の2つの特徴があるという。
1つは、「高額」「即日即金」「ホワイト案件」など「楽で、簡単、高収入」を強調していること。
もう1つは、 「シグナル」(「Signal - プライベートメッセンジャー)や「テレグラム」(Telegram Messenger)など、秘匿性の高いアプリに誘導し、個人情報を送信させ、脅迫してくることだ。
》 バーガーキング公式アプリの会員情報38件の漏えいが判明、サイバー攻撃による不正アクセス (Internet Watch, 10/24)
》 「ロシア人がLinuxのカーネルメンテナーを解任されている件」についてリーナス・トーバルズが説明 (gigazine, 10/24)
私はフィンランド人だ。私がロシアの侵略を『支持』するとでも思ったのか?
》 X(旧Twitter)のインドでの収益が90%減少、大幅な人員削減が原因か (gigazine, 10/25)
》 袴田事件再審無罪判決 (壇弁護士の事務室, 10/9)
検事総長の発言からは、人の人生の大半を奪ったことに対する責任感が微塵とも感じられない。チンピラの捨て台詞である。
残念ながら、これが日本の刑事司法なのである。
》 New Release: Tor Browser 14.0 (Tor Blog, 10/22)。iida さん情報ありがとうございます。
》 インテルサットの通信衛星が静止軌道上で“分解”か 数十の破片に (ITmedia, 10/24)。原因は不明。
Intelsat Reports IS-33e Satellite Loss (intelsat, 10/21 更新)
アラート/アドバイザリ:SQLインジェクションによる情報漏えいの脆弱性について:Trend Micro Deep Discovery Inspector (2024年 9月) (トレンドマイクロ, 2024.09.13)。 2024.10.17 付で改訂されているのだが、何が改訂されたのかよくわらない。
アラート/アドバイザリ:不適切なアクセス制御によるローカル権限昇格の脆弱性(2024年10月):Deep Security Agent(Windows版) (トレンドマイクロ, 2024.10.16)
Drupal core - Moderately critical - Improper error handling - SA-CORE-2024-002 (Drupal, 2024.10.16)。Drupal 10.0〜10.2.9 に影響。Drupal 10.2.10 で修正。 Drupal 10.3 系列、および Drupal 7 系列には影響しない。
PowerDNS Recursorの脆弱性情報が公開されました(CVE-2024-25590) (JPRS, 2024.10.07)
Unboundの脆弱性情報が公開されました(CVE-2024-8508) (JPRS, 2024.10.07)
Should We Chat, Too? Security Analysis of WeChat’s MMTLS Encryption Protocol (CitizenLab, 2024.10.15)。CitizenLab が WeChat MMTLS の公開分析を実施。 なかなかにだめだめなようで。
- We found that MMTLS is a modified version of TLS 1.3, with many of the modifications that WeChat developers made to the cryptography introducing weaknesses.
- Further analysis revealed that earlier versions of WeChat used a less secure, custom-designed protocol that contains multiple vulnerabilities, which we describe as “Business-layer encryption”. This layer of encryption is still being used in addition to MMTLS in modern WeChat versions.
- Although we were unable to develop an attack to completely defeat WeChat’s encryption, the implementation is inconsistent with the level of cryptography you would expect in an app used by a billion users, such as its use of deterministic IVs and lack of forward secrecy.
FG-IR-24-423 - Missing authentication in fgfmsd (2024.10.24)
FG-IR-24-423 - Missing authentication in fgfmsd が更新されている。
2024-10-24: Added workarounds to block the addition of unauthorized devices via syslog or FDS
2024-10-24: Added 195.85.114.78 in IoCs
195.85.114.78 は Mandiant の観測結果による: Investigating FortiManager Zero-Day Exploitation (CVE-2024-47575) (Mandiant, 2024.10.24)
》 世界中のスマホの位置をGoogleとAppleの広告識別子を悪用して追跡するサービス「Locate X」の存在が明らかに (gigazine, 10/24)
》 EVやスマホのバッテリーに使われる「リチウム」がアメリカ・アーカンソー州に500万~1900万トンも埋蔵されている可能性 (gigazine, 10/23)。「あくまで埋蔵量を推定した研究」「実際に塩水からリチウムを抽出する方法に基づき、技術的に回収可能な量を推定したわけではない」。
》 SolarWindsハッキング事件のリスクを誤解させる開示を行ったしたとしてアメリカ証券取引委員会が4社に合計10億円超の罰金 (gigazine, 10/23)
》 アメリカ政府が中国やロシアなどに国民のデータを送ることを禁じる規則案を発表 (gigazine, 10/22)。「規則案では中国、ロシア、イラン、北朝鮮、ベネズエラ、キューバの6カ国が名指しされている」。
》 WP EngineがWordPress.orgへのアクセス権回復を求めて裁判所に申立書を提出 (gigazine, 10/21)
》 Windows 11バージョン24H2では月例更新のインストールが約45%高速化 (PC Watch, 10/24)。へぇ。
》 第13・14世代Coreプロセッサーは故障回避のためBIOS(UEFI)アップデートが必須 BIOS更新の手順と注意点を解説 (PC Watch, 10/24)
》 AIチャットbotにのめり込んで自殺──遺族がCharacter.AIを提訴 (ITmedia, 10/24)
》 Starlink衛星とauスマートフォンの直接通信実証に成功 (KDDI, 10/24)。直接通信サービスは「2024年内 提供開始予定」「現行のほとんどのスマートフォンで接続できる見込み」だそうで。
》 「OpenSSL 3.4」がリリース ~実行ファイルのPIE化によるASLR対応などを実施 (窓の杜, 10/24)
NVIDIA製GPUドライバーに6件の脆弱性 ~最新「GeForce」ドライバーへの更新を (PC Watch, 2024.10.24)
FortiManager 6.2 / 6.4 / 7.0 / 7.2 / 7.4 / 7.6 系列、 FortiManager Cloud 6.4 / 7.0 / 7.2 / 7.4 系列に 0-day 欠陥。 FortiManager の fgfmd デーモンにおける「クリティカルな機能」(詳細不明) に認証が行われない欠陥があり、リモートから無認証で任意のコードまたはコマンドを実行できる。CVE-2024-47575
FortiManager Cloud 7.6 はこの欠陥の影響を受けない。
古い FortiAnalyzer モデル 1000E, 1000F, 2000E, 3000E, 3000F, 3000G, 3500E, 3500F, 3500G, 3700F, 3700G, 3900E で FortiManager on FortiAnalyzer 機能を有効にしていた場合、 および、少なくとも 1 つのインターフェイスで fgfm サービスを有効にしていた場合にも影響を受ける。 FortiAnalyzer 7.0 のサポート対象にモデル 1000E、Firmware Version 6.4 が含まれているので、上記バージョン番号に準ずるのだろう。
FortiManager 6.2 / 6.4 / 7.0 / 7.2 / 7.4 / 7.6 系列、 FortiManager Cloud 7.0 / 7.2 / 7.4 系列には修正版が用意されている。 FortiManager Cloud 6.4 については 7.0 以降にアップグレードする必要がある。
複数の回避策も提示されているのだが、FortiManager 6.2 / 6.4 系列および 7.0.0〜7.0.11 については回避策がない。7.0.12 以降、あるいは 7.2〜7.6 系列へのアップグレードが必要。
攻撃を受けた場合の log の例、および既知の攻撃元 IP アドレスも示されている。
Log entries
type=event,subtype=dvm,pri=information,desc="Device,manager,generic,information,log",user="device,...",msg="Unregistered device localhost add succeeded" device="localhost" adom="FortiManager" session_id=0 operation="Add device" performed_on="localhost" changes="Unregistered device localhost add succeeded"
type=event,subtype=dvm,pri=notice,desc="Device,Manager,dvm,log,at,notice,level",user="System",userfrom="",msg="" adom="root" session_id=0 operation="Modify device" performed_on="localhost" changes="Edited device settings (SN FMG-VMTM23017412)"
IP addresses
45.32.41.202
104.238.141.143
158.247.199.37
45.32.63.2
関連: Fortinet製FortiManagerにおける重要な機能に対する認証の欠如の脆弱性(CVE-2024-47575)等に関する注意喚起 (JPCERT/CC, 2024.10.24)
当アドバイザリではFortiManagerのfgfmdデーモンが悪用される点が問題とされています。なお、本情報との関連性は10月24日時点では不明ですが、Fortinetは本年2月8日に公開したアドバイザリ(FG-IR-24-029)を10月11日に更新し、fgfmdに関するCVE-2024-23113脆弱性の悪用可能性に言及しています。
Fortinet
Format String Bug in fgfmd
https://www.fortiguard.com/psirt/FG-IR-24-029
FG-IR-24-423 - Missing authentication in fgfmsd が更新されている。
2024-10-24: Added workarounds to block the addition of unauthorized devices via syslog or FDS
2024-10-24: Added 195.85.114.78 in IoCs
195.85.114.78 は Mandiant の観測結果による: Investigating FortiManager Zero-Day Exploitation (CVE-2024-47575) (Mandiant, 2024.10.24)
Fortinet製FortiManagerにおける重要な機能に対する認証の欠如の脆弱性(CVE-2024-47575)等に関する注意喚起 (JPCERT/CC) が 11/15 付で更新されている。
2024年11月15日時点で、本脆弱性(CVE-2024-47575)の詳細を解説する情報や、本脆弱性を実証するコード(Proof-of-Concept)などが公開されていることをJPCERT/CCは確認しています。また、本脆弱性とは別の脆弱性が同製品に存在するという指摘や、既知の調査方法で検出されないような脆弱性の悪用方法を解説する情報も確認しています。
JPCERT/CCは国内の組織から本脆弱性が悪用された可能性を示すログが確認されたという情報を複数確認しており、実証コードなどを用いた攻撃が増加する可能性があります。本脆弱性や本製品について、今後も新たな情報が公開される可能性がありますので、引き続きFortinetなどが公開する最新の情報を注視の上、対策や調査を実施いただくことを推奨いたします。
》 本物と同じ速度で泳げる魚ロボット開発 電気通信大など 「高性能化すればトビウオのように飛ぶことも」 (ITmedia, 10/23)
》 アニメ制作会社・クラウドハーツ、Webサイトがドメイン切れに 24年春アニメ「ささ恋」などを担当 (ITmedia, 10/23)
同社は4~6月に放送していたテレビアニメ「ささやくように恋を唄う」のアニメーション制作として参加していた。しかし同作の製作委員会は6月、11~12話の放送予定を延期すると発表。さらに8月には同作のBlu-rayの発売日についても、9月から2025年1月へ変更しており、その告知文の中で「第11話・第12話は、放送に向けて引き続き制作中です」と説明していた。
》 【解説】他人名義のクレカ不正使用“闇バイト”指示役の26歳男逮捕 メルカリで“資金洗浄”か サイバー捜査で“匿名性高い”暗号資産の追跡可能に (FNN, 10/23)。
小林雄太容疑者(26)は、フリマアプリ「メルカリ」に出品した架空の商品を、他人のクレジットカードで不正に購入し、約275万円をだまし取った疑いが持たれている。
小林容疑者は、実行役を「闇バイト」で集めた匿名・流動型犯罪グループ(トクリュウ)の指示役とみられている。
小林容疑者は被害金を、秘匿性が高く追跡が困難とされる暗号資産「モネロ」に交換していたが、警察庁のサイバー特捜部などが、日本で初めて、モネロの追跡に成功したという。
関連: スキマバイト「メルカリ ハロ」本格始動--「闇バイト」など不正利用対策にも言及 (CNET, 10/23)
》 「桜井政博のゲーム作るには」最終回で語られたこと 制作費は約9000万円、そして2年半前に収録がほぼ完了していた理由 (ITmedia, 10/23)。「260本の動画 (中略) 制作費は約9000万円かかった (中略) しかしチャンネルは収益化していないため、収入はゼロだ」。すげえ。
》 Arm、Qualcommへのチップ設計ライセンスを取り消しへ Bloomberg報じる (ロイター / ITmedia, 10/23)
Armが勝訴すれば、QualcommとMicrosoftを含むパートナー約20社は、新型ノートPCの出荷停止を余儀なくされる可能性がある。また、Qualcommにとって近年最大規模の戦略的買収の1つが事実上解消されることになる。
》 セガ、「メメントモリ」運営会社を提訴 特許権の侵害で ゲーム差し止めと損害賠償を求める (ITmedia, 10/22)
》 「もう電波放送は終わっていいんじゃないか」――イギリス放送通信庁の提案、ネット完全移行は現実的か? (ITmedia, 10/23)。斜陽産業「テレビ」の行方、英国の場合。
》 Windows 11 24H2導入後にWordやExcelなどが動かなくなる不具合 (PC Watch, 10/23)
影響を受けるのは、セキュリティソリューションであるCrowdStrike Falcon Sensorが導入されているデバイスのうち、Enhanced Exploitation Visibility Prevention Policyの設定が有効になっているデバイス。
》 ポータブル電源の中身ってどうなってるの?⾃分じゃ怖いから公式に分解してもらいつつ解説! (PC Watch, 10/23)
Chrome 130.0.6723.69/.70 (Windows / Mac) および 130.0.6723.69 (Linux) 公開。 3 件のセキュリティ修正を含む。関連:
Chrome for Android Update (Google, 2024.10.22)。Chrome 130 (130.0.6723.73) for Android。
Firefox 131.0 / ESR 128.3.0 / ESR 115.16.0 公開 (2024.10.02)
Thunderbird 128.3.2esr / 128.3.3esr および 115.16.2esr が公開された。 115.16.1esr が 115 の最終じゃなかったんかい。
Thunderbird 128.3.2 ESR がリリースされた (mozillaZine, 2024.10.18)
Thunderbird 128.3.3 ESR がリリースされた (mozillaZine, 2024.10.23)
Thunderbird 115.16.2 がリリースされた (mozillaZine, 2024.10.21)
新機能: 年末の寄付のお願いを追加
変更点がこれだけって、アナタ……。
》 IIJmio開通遅延問題、6日目に解消へ 届いたSIMカードで一時通信できないなど (ITmedia, 10/22)
》 ハッカー集団「盗んだデータをばらまくぞ」→もともと無料の公開データでした 国立遺伝学研究所でセキュリティ珍事 (ITmedia, 10/22)
》 声優が呼び掛ける「NOMORE無断生成AI」 第1弾の動画と公式サイトを公開 「AIと良い意味で共存していく道を探らなければ」 (ITmedia, 10/22)
》 TeslaとマスクCEO、「ブレードランナー 2049」に似たAI画像を無断で披露したとして提訴される (ITmedia, 10/22)
》 虚構新聞のリアル展示会、東京でも開催決定。タイポグラファーによる展示も (Internet Watch, 10/22)
》 今年だけで3台目。Wi-Fi 7検証目的で買った最新ノートPCは今度こそ320MHz幅でつながるか? (Internet Watch, 10/21)。ここまでやらないと買えないですか。
》 2.4GHz帯で5km伝送の長距離無線LAN、TP-Linkの屋外用ブリッジ「CPE210」国内販売へ。1万5000円 (Internet Watch, 10/22)
》 ボーイングとインテルの苦境、国家の緊急事態 (Wall Street Journal, 10/22)。落ちる飛行機、壊れる CPU でおなじみの両社。
》 レーザー兵器、ドローンの天敵になるか (Wall Street Journal, 10/22)。もう一息感。
》 The Top 10 Not So Common SSH Usernames and Passwords (SANS ISC, 10/16)
》 A Network Nerd's Take on Emergency Preparedness (SANS ISC, 10/15)。DeepL 訳:
ほとんどの携帯電話はデフォルトでローミングを許可しており、携帯電話会社は災害時に互いの顧客が自社のネットワークを使用することを許可している。 しかし、あなたの携帯電話がローミングを有効にしているかどうか、再度確認してください。
US のケータイはそうなのですね。 日本のケータイはいつできるようになるんだっけ? と思ってぐぐってみたら、 「令和7年度(2025年度)末頃の導入を目指し」て作業中だそうで。
》 Windows 11をHomeからProにしたらなぜかEnterpriseに……窓口に問い合わせて解決するまで (やじうまの杜, 10/22)
》 カシオ、個人向け製品の修理受付を一時停止 ランサムウェア被害の影響 (ITmedia, 10/22)
こちらです: Oracle Critical Patch Update Advisory - October 2024 (Oracle, 2024.10.15)
VirtualBox 7.1.4 (virtualbox.org, 2024.10.15)、 VirtualBox 7.0.22 (virtualbox.org, 2024.10.15)。
Oracle Virtualization Risk Matrix (Oracle, 2024.10.15)。7.1.4 で 4 件、 7.0.22 で 5 件 のセキュリティ修正ありと。
Oracle Java SE Risk Matrix (Oracle, 2024.10.15)。計 8 件のセキュリティ修正ありと。
JDK Releases (java.com)。 23.0.1 / 21.0.5 / 17.0.13 / 11.0.25 / 8u431 ですか。
Java SE Development Kit 23.0.1 (JDK 23.0.1) (Oracle, 2024.10.15)
Java SE Development Kit 21.0.5 (JDK 21.0.5) (Oracle, 2024.10.15)
Java SE Development Kit 17, Update 17.0.13 (JDK 17.0.13) (Oracle, 2024.10.15)
Java SE 11.0.25 Bundled Patch Release (BPR) - Bug Fixes and Updates (Oracle, 2024.10.15)
Java SE 8u431 Bundled Patch Release (BPR) - Bug Fixes and Updates (Oracle, 2024.10.15)
OpenJDK Vulnerability Advisory: 2024/10/15 (openjdk.org, 2024.10.15)。 列挙されているのは 6 件。 Oracle の方にはある CVE-2024-36138 CVE-2024-21211 がこちらにはない。
Download Liberica JDK (bell-sw.com)
Amazon Corretto (GitHub)
》 最強の生存者「雑草」が農地を覆い尽くすまで (MIT Technology Review, 10/21)。 やっぱそうなりましたか感。 まさに進化。
「Windows 11 バージョン 24H2」でカメラを利用すると一部アプリが応答不能に (窓の杜, 10/21)
「Windows 11 バージョン 24H2」でブルースクリーン、「VoiceMeeter」に非互換問題 (窓の杜, 10/21)
ASUSの一部デバイスで「Windows 11 バージョン 24H2」へ更新できない問題が発生中 (窓の杜, 10/21)
Chrome 130.0.6723.58/.59 (Windows / Mac) および 130.0.6723.58 (Linux) が stable に。 17 件のセキュリティ修正を含む。
[$36000][367755363] High CVE-2024-9954: Use after free in AI. Reported by DarkNavy on 2024-09-18
うひょぉ。36000 *149.73 = 5,390,280 円……。 関連:
Chrome for Android Update (Google, 2024.10.15)。Chrome 130 (130.0.6723.58) for Android。
Release notes for Microsoft Edge Security Updates: October 17, 2024 (Microsoft, 2024.10.17)。Edge Stable Channel (Version 130.0.2849.46)。 Edge 独自のセキュリティ修正も 7 件あり。
》 新型「iPad mini」突如発表 A17 Proチップで、Apple Pencil Pro対応 7万8800円から (ITmedia, 10/15)。で、前モデルで酷評されたディスプレイは改善されたの?
》 テック系サービス御用達のトップレベルドメイン「.io」、領有権返還により消滅の危機? (やじうま Watch, 10/10)。.io は英国領インド洋地域チャゴス諸島の ccTLD だが、 イギリス政府がチャゴス諸島の領有権を放棄しモーリシャスに移譲することを発表 したため、.io 無くなるんじゃねーのという話になった模様。
トップレベルドメインやIPアドレスなどのインターネット資源を管理するIANAには、古くなったccTLD(基盤となる国・地域が存在しなくなった場合、または、関連するISO標準から国コードが削除された場合)は5年以内に廃止するという規定があり、これが適用されるか否か次第といったところだが、延長の可能性もあり、先行きは不透明だ。
規定的には無くなるみたいだけど、この規定が発動された前例ってあるんですかね。 と思ってぐぐってみたら、.tp や .an という前例があるみたい: オランダ領アンティルのccTLD「.an」が廃止へ (GonbeiDomain, 2015.07.22)。 いやもっとあるみたい: What is a historical ccTLD? (dynadot.com)。チェコスロバキア (.cs) や東ドイツ (.dd)、ユーゴスラビア (.yu) などですか。
というわけで、近い将来において無くなりそうですね。
》 イセトーがランサムウェア攻撃に関する調査結果を発表、KUMON会員情報漏えいなどの委託先 (Internet Watch, 10/11)
》 Windows11 24H2にしてからブルースクリーンエラーが発生するように。主にWD製NVMe SSD『SN580』『SN770』環境にて。修正・対処方法あり (ニッチなPCゲーマーの環境構築Z, 10/13)
》 ビットコイン開発者「サトシ・ナカモト」の正体を名指しするドキュメンタリーが配信されるも当該人物は完全否定 (gigazine, 10/9)。HBO の作品。 「トッド氏がサトシ・ナカモトであることを示す直接的な証拠は示されていません」。あらまあ。
》 ロシアが「Discord」をブロックしたと発表、トルコでもアクセスが制限される (gigazine, 10/10)
》 MetaがAIで生成したオーロラの画像をThreadsに投稿して猛非難を受ける (gigazine, 10/15)
》 Steamが「ユーザーはゲームそのものを取得できず、ゲームの利用権を取得するだけ」ということをショッピングカートで明示、カリフォルニア州の新法への対応か (gigazine, 10/15)
》 テスラがロボタクシー発表会で披露した人型ロボットOptimusは遠隔操作されていた疑い (gigazine, 10/15)。「その後、テスラの関係者も一部機能については遠隔操作だったと述べています」。
》 ネット上のコンテンツを保存する「インターネットアーカイブ」がDDoS攻撃の影響によるダウンから復活 (gigazine, 10/15)
》 macOS Sequoia: System/Network Admins, Hold On! (SANS ISC, 10/7)。こんな不具合があるのですか。
》 LibreSSL 4.0.0 Release Notes (LibreSSL, 10/14)
》 中国の研究者が量子コンピューターでRSA暗号の解読手法を構築 (gigazine, 10/15)。まだ「RSA 終了のお知らせ」ではなかった。iida さん情報ありがとうございます。
》 「LUUPのポート、消防法違反の場所では」指摘多数、運営会社は「見落としが原因、対応中」 件数や完了時期はノーコメント (ITmedia, 10/11)。 「ルール守れない人は乗らないで」 の LUUP、自身がルールを守っていなかった。
》 「Windows 11 バージョン 24H2」の「ディスク クリーンアップ」に問題、Microsoftが認める (窓の杜, 10/15)
》 Windows 10製品サポート終了の日まで、あと1年…… 「Microsoft Office」2016/2019も (窓の杜, 10/15)。 「時に西暦 2024 年、Windows 10 は今、最後の時を迎えようとしていた」。 BGV: 【公式】放送50周年『宇宙戦艦ヤマト[HDリマスター]』第1話 (YouTube)。
まあ、ESR があるんですけどね。
》 「現在のLLMに真の推論は困難」──Appleの研究者らが論文発表 (ITmedia, 10/13)。ですよねえ。
》 新幹線にドライバレス運転を導入します (JR東, 9/10)。「世界初の新幹線におけるドライバレス運転を上越新幹線に導入し、次に北陸新幹線、最後に東北新幹線に順次拡大していきます」。へぇ。
2028年度に長岡駅~新潟新幹線車両センター間(60.8km)の営業列車と回送列車の自動運転(GOA2)、および2029年度に新潟駅~新潟新幹線車両センター間(5.1km)の回送列車のドライバレス運転(GOA4)導入を目指し、このたび、地上設備・車両改造等の工事に着手します。
GOA2 は運転士も乗務しての自動運転、GOA4 は完全無人自動運転。
》 あなたのスマホが“盗聴器”に? 周囲の声をスマホ経由で盗聴する攻撃 パキスタンチームが開発 (ITmedia, 10/15)
中核となるのは「LightGBM」(Light Gradient Boosting Machine)という機械学習アルゴリズムである。このAI技術を用いて、200Hzでサンプリングされた加速度計データを400Hzに拡張している。
音声版の超解像技術ですか。
》 「Yu Gothic UI」フォントの鍵括弧、繋げるとブラウザ表示で重なる問題を調べてみた (俵のメモ帳, 10/12)。うぎゃあ。Windows 版 Teams で発生する、というのがなかなかに厳しい。
old news すぎる。119 MS CVE + 4 non-MS CVE。 CVE 番号が太字なのは critical (最大深刻度: 緊急) 扱い。
- .NET と Visual Studio CVE-2024-38229 CVE-2024-43485
- .NET、.NET Framework、Visual Studio CVE-2024-43483 CVE-2024-43484
- Azure CLI CVE-2024-43591
- Azure Monitor CVE-2024-38097
- Azure Stack CVE-2024-38179
- BranchCache CVE-2024-38149 CVE-2024-43506
- DeepSpeed CVE-2024-43497
- Internet Small Computer Systems Interface (iSCSI) CVE-2024-43515
- Microsoft ActiveX CVE-2024-43517
- Microsoft Configuration Manager CVE-2024-43468
- Microsoft Defender for Endpoint CVE-2024-43614
- Microsoft Edge (Chromium ベース) CVE-2024-7025 CVE-2024-9369 CVE-2024-9370
- Microsoft Graphics コンポーネント CVE-2024-43508 CVE-2024-43509 CVE-2024-43534 CVE-2024-43556
- Microsoft Office CVE-2024-43576 CVE-2024-43609 CVE-2024-43616
- Microsoft Office Excel CVE-2024-43504
- Microsoft Office SharePoint CVE-2024-43503
- Microsoft Office Visio CVE-2024-43505
- Microsoft Simple Certificate Enrollment Protocol CVE-2024-43541 CVE-2024-43544
- Microsoft Windows Speech CVE-2024-43574
- Microsoft リモート デスクトップ ライセンス サービス CVE-2024-38262
- Microsoft 管理コンソール CVE-2024-43572
- OpenSSH for Windows CVE-2024-38029 CVE-2024-43581 CVE-2024-43615
- Outlook for Android CVE-2024-43604
- Power BI CVE-2024-43481 CVE-2024-43612
- RPC Endpoint Mapper Service CVE-2024-43532
- Service Fabric CVE-2024-43480
- SQL 用 Microsoft WDAC OLE DB プロバイダー CVE-2024-43519
- Sudo for Windows CVE-2024-43571
- Visual C++ 再頒布可能インストーラー CVE-2024-43590
- Visual Studio CVE-2024-43603
- Visual Studio Code CVE-2024-43488 CVE-2024-43601
- Windows Ancillary Function Driver for WinSock CVE-2024-43563
- Windows BitLocker CVE-2024-43513
- Windows Cryptographic サービス CVE-2024-43546
- Windows EFI パーティション CVE-2024-37976 CVE-2024-37982 CVE-2024-37983
- Windows Hyper-V CVE-2024-30092
- Windows Kerberos CVE-2024-38129 CVE-2024-43547
- Windows Local Security Authority (LSA) CVE-2024-43522
- Windows MSHTML プラットフォーム CVE-2024-43573
- Windows Netlogon CVE-2024-38124
- Windows Network Address Translation (NAT) CVE-2024-43562 CVE-2024-43565
- Windows NT OS カーネル CVE-2024-43553
- Windows NTFS CVE-2024-43514
- Windows Resilient File System (ReFS) CVE-2024-43500
- Windows Standards-Based Storage Management サービス CVE-2024-43512
- Windows Storage CVE-2024-43551
- Windows Telephony Server CVE-2024-43518
- Windows オンライン証明書状態プロトコル (OCSP) CVE-2024-43545
- Windows カーネル CVE-2024-37979 CVE-2024-43502 CVE-2024-43511 CVE-2024-43520 CVE-2024-43527 CVE-2024-43570
- Windows カーネルモード ドライバー CVE-2024-43535 CVE-2024-43554
- Windows シェル CVE-2024-43552
- Windows スクリプト CVE-2024-43584
- Windows ストレージ ポート ドライバー CVE-2024-43560
- Windows セキュリティで保護されたチャネル CVE-2024-43550
- Windows への cURL の実装 CVE-2024-6197
- Windows モバイル ブロードバンド CVE-2024-43523 CVE-2024-43524 CVE-2024-43525 CVE-2024-43526 CVE-2024-43536 CVE-2024-43537 CVE-2024-43538 CVE-2024-43540 CVE-2024-43542 CVE-2024-43543 CVE-2024-43555 CVE-2024-43557 CVE-2024-43558 CVE-2024-43559 CVE-2024-43561
- Windows リモート デスクトップ CVE-2024-43582
- Windows リモート デスクトップ サービス CVE-2024-43456
- Windows ルーティングとリモート アクセス サービス (RRAS) CVE-2024-38212 CVE-2024-38261 CVE-2024-38265 CVE-2024-43453 CVE-2024-43549 CVE-2024-43564 CVE-2024-43589 CVE-2024-43592 CVE-2024-43593 CVE-2024-43607 CVE-2024-43608 CVE-2024-43611
- Windows 印刷スプーラー コンポーネント CVE-2024-43529
- Windows 共通ログ ファイル システム ドライバー CVE-2024-43501
- Windows 保護カーネル モード CVE-2024-43516 CVE-2024-43528
- Winlogon CVE-2024-43583
- コード整合性ガード CVE-2024-43585
- リモート デスクトップ クライアント CVE-2024-43533 CVE-2024-43599
- ロール: Windows Hyper-V CVE-2024-20659 CVE-2024-43521 CVE-2024-43567 CVE-2024-43575
直った 0-day は 6 件。
Winlogon の特権の昇格の脆弱性 CVE-2024-43583 (Microsoft, 2024.10.08)。情報公開のみ。
Microsoft 管理コンソールのリモートでコードが実行される脆弱性 CVE-2024-43572 (Microsoft, 2024.10.08)。exploit あり。
Windows Hyper-V のセキュリティ機能のバイパスの脆弱性 CVE-2024-20659 (Microsoft, 2024.10.08)。情報公開のみ。
Hackerone: CVE-2024-6197 Freeing stack buffer in utf8asn1str CVE-2024-6197 (Microsoft, 2024.10.10 更新)。情報公開のみ。libcurl の件。 JVNDB-2024-006589 Haxx の libcurl における脆弱性 (JVN, 2024.08.27)
Windows MSHTML Platform Spoofing Vulnerability CVE-2024-43573 (Microsoft, 2024.10.08)。exploit あり。
Windows Update スタックの特権の昇格の脆弱性 CVE-2024-38202 (Microsoft, 2024.10.08 更新)。情報公開のみ。8 月から持ち越しだった件、ようやく直りました。
仕様変更だそうです:
Windowsのサインイン画面でサードパーティ製IMEが使えなくなる。Windows10、Windows11、Windows Serverすべてが対象 (ニッチなPCゲーマーの環境構築Z, 2024.10.10)。 CVE-2024-43583 への対応のため。 「サインイン画面ではファーストパーソン製IME、つまり、Microsoft製のIMEを使用してください」。
不具合情報:
OpenSSHサーバー(sshd)が起動しない不具合。Windows11にて発生。KB5044285に起因 (ニッチなPCゲーマーの環境構築Z, 2024.10.15)。Windows 11。
この不具合が発生した場合の対処方法は、『C:\ProgramData\ssh\』にある『logs』フォルダを削除するか(削除して問題ない場合)、フォルダ名を変更してください。
関連:
Microsoft Patch Tuesday - October 2024 (SANS ISC, 2024.10.08)
【Windows10】 WindowsUpdate 2024年10月 不具合情報 - セキュリティ更新プログラム KB5044273 [Update 1] (ニッチなPCゲーマーの環境構築Z, 2024.10.10)
【Windows11】 WindowsUpdate 2024年10月 不具合情報 - セキュリティ更新プログラム KB5044285 / KB5044284 | 22H2のサポートが終了。23H2または24H2へアプデを [Update 4] (ニッチなPCゲーマーの環境構築Z, 2024.10.15)
「InDesign」や「Animate」、「InCopy」など9つのAdobe製品に致命的な脆弱性 Adobeの月例セキュリティ情報 (窓の杜, 2024.10.09)。 Adobe Commerce だけ Priority: 2、他は Priority: 3。
Security updates available for Substance 3D Painter | APSB24-52 (Adobe, 2024.10.08)
Security update available for Adobe Commerce | APSB24-73 (Adobe, 2024.10.08)。Priority: 2
Security updates available for Adobe Dimension | APSB24-74 (Adobe, 2024.10.08)
Security updates available for Adobe Animate | APSB24-76 (Adobe, 2024.10.08)
Security Updates Available for Adobe Lightroom | APSB24-78 (Adobe, 2024.10.08)
Security Update Available for Adobe InCopy | APSB24-79 (Adobe, 2024.10.08)
Security Update Available for Adobe InDesign | APSB24-80 (Adobe, 2024.10.08)
Security updates available for Substance 3D Stager | APSB24-81 (Adobe, 2024.10.08)
Security Updates Available for Adobe FrameMaker | APSB24-82 (Adobe, 2024.10.08)
Androidの2024年10月セキュリティ更新が公表 ~FrameworkやSystemに脆弱性 (窓の杜, 2024.10.10)。セキュリティ更新プログラムレベル 2024-10-01 および 2024-10-05。
Wireshark 4.4.1 Release Notes (Wireshark, 2024.10.09)。2 件のセキュリティ修正を含む。
Wireshark 4.2.8 (Wireshark, 2024.10.09)。1 件のセキュリティ修正を含む。
Firefox 131.0 / ESR 128.3.0 / ESR 115.16.0 公開 (2024.10.02)
Firefox 131.0.3、Firefox for Android 130.0.3 公開。セキュリティ修正 1 件を含む。
Firefox 131.0.3、Firefox for Android 131.0.3 がリリースされた (mozillaZine, 2024.10.15)
Mozilla Foundation Security Advisory 2024-53 Security Vulnerability fixed in Firefox 131.0.3 (Mozilla, 2024.10.14)。CVE-2024-9936。High 。
また Thunderbird 115.16.1esr が公開された。Thunderbird 115 の最終リリースだ、とされている。 セキュリティ修正は無いようだ。
Thunderbird 115.16.1esr Release Notes (thunderbird.net, 2024.10.14)
》 PPTP/L2TPプロトコルは非推奨に ~将来バージョンのWindows Serverで削除へ より安全で効率的な代替策であるSSTPとIKEv2への移行を (窓の杜, 10/11)。来ましたね。
Firefox 131.0 / ESR 128.3.0 / ESR 115.16.0 公開 (2024.10.02)
Thunderbird 131.0.1 (テスト版) / 128.3.1esr / 115.16.0esr 公開。 Mozilla Foundation Security Advisory 2024-51 と同様に CVE-2024-9680 を修正。
Thunderbird 128.3.1 ESR および 115.16.0 がリリースされた (mozillaZine, 2024.10.11)
Mozilla Foundation Security Advisory 2024-52 Security Vulnerability fixed in Thunderbird 131.0.1, Thunderbird 128.3.1, Thunderbird 115.16.0 (mozilla, 2024.10.10)
Release Notes: Thunderbird 131.0.1 / 128.3.1esr / 115.16.0esr (thunderbird.net, 2024.10.10)
》 【真相】クレカの巨人「VISA」が、PayPayの猛攻に焦っている (NewsPics, 10/10)。無料で読めるところしか読んでないけど、 あれだけ金かけたこともあって PayPay 普及してるからなあ。
関連:
バカ高い 「決済手数料」公開でクレカ業界は奈落の底 日本だけ異様に高い手数料の実態が明らかに。高還元のポイントプログラムも崩壊しかねない。 (Facta, 2022.10)。2年前の記事。
実は、日本の加盟店手数料は海外と比べて極めて高い。経済産業省がモデル事例として示した飲食店や小売店など中小加盟店の手数料率は3.25%に上るのに対し、欧州では0.3~0.5%程度にとどまる。ここまで差が開いている最大の理由は、加盟店手数料に含まれる「インターチェンジフィー」の違いだ。
政府や公取委は、インターチェンジフィーの標準料率が公開されることで「加盟店手数料率の引き下げにつながることが期待される」と公言する。加盟店から手数料を搾取している実態が明らかになることで、加盟店はクレジットカード会社に手数料の引き下げを要請しやすくなるからだ。
(令和4年11月30日)クレジットカードのインターチェンジフィーの標準料率の公開について (公正取引委員会, 2022.11.30)
今般、Mastercard、UnionPay(銀聯)及びVisaから、クレジットカードのインターチェンジフィーの標準料率が公開されました。
・Mastercard(https://www.mastercard.co.jp/ja-jp/business/interchange.html)
・UnionPay(銀聯)(https://www.unionpayintl.com/en/IRF/)
・Visa(https://www.visa.co.jp/about-visa/interchange.html)
ふつうのカードよりも Gold とかの方が高いのか! Gold カードで買われると店が損すると?! マジかよ……。
三井住友カード、中小事業者の手数料を1.98%に引き下げ (Impress, 5/8)
公取委、独占禁止法違反疑いでVisa日本法人を立入検査 (企業法務ナビ, 7/22)
こうした中、「①国際ブランド」であるVisa側は、遅くとも数年前から、提携先に対し、照会時に、自社決済システムを用いるよう要求していたということです。また、ライバル社の決済システムで照会した場合は、決済時に「③加盟店管理会社」が「②カード発行会社」へ支払うことになるIRF(インターチェンジフィー)を引き上げることを、説明会や文書などで伝えていたということです。
Square、Visa・Mastercardの決済手数料を2.5%に引き下げ (Impress, 9/3)
最安水準の手数料のみで利用できる決済サービス誕生! 支払い建替えなど金融サービスも計画【ダイニー】 (foodfun, 9/20)。キャンペーン期間が終了すると最安ではなくなっちゃう。
STORES 決済、クレジットカード決済手数料を業界最安水準1.98%に引き下げ、中小事業者向け「中小支援プラン」を新たに提供 (stores, 10/1)
JCBの決済手数料が3.24%に引き下げ!エアペイや楽天ペイ、ストアーズ決済など各社で一斉対応! (HIRAKULOG, 10/6)
》 Google対米司法省の独禁法裁判、司法省が企業分割を含む提案 (ITmedia, 10/10)
》 クレカの不正利用対応で物議、なぜ対応が遅れているのか「イオンカード」発行元に聞いた (ITmedia, 10/9)
「春先から弊社を騙ったフィッシングメールが急増している」背景があるという。 (中略) 件数は「雪だるま式に増えている」としており、カスタマーサポートのキャパシティをオーバー。被害額の確定や返金処理などに時間がかかってしまっているという。
》 太陽フレアでNICTが注意喚起 10日深夜から数日間、通信障害などのおそれ 「宇宙システムの利用には注意が必要」 (ITmedia, 10/9)。最近激しいなあ。
》 JEITA、Windows 10のサポート終了についての啓発ドキュメントを公開 (PC Watch, 10/9)。Windows 10 ESU ってもう買えるんですかね?
Windows 10 ESU を利用するタイミング (Windows Blog, 4/3)
Windows 11 へのアップグレードを予定していない Windows 10 デバイス用の ESU ライセンスは、サポート終了日の 1 年前である 2024 年 10 月から購入できるようになります。
Windows 10用の拡張セキュリティ 更新 (ESU) プログラム (Microsoft)
》 投資詐欺の被害が深刻化。急増する暗号通貨関連の犯罪から身を守るためのヒント10か条 FBIが「暗号通貨詐欺報告書2023」発表 (Internet Watch, 10/8)
FortiOS / FortiProxy / FortiPAM / FortiSwitchManager 方面 (CVE-2024-21762, CVE-2024-23113)
CVE-2024-23113、実際に悪用されていることが確認されているそうで。
FortinetのRCE脆弱性が悪用されている:CISAがKEVカタログに追加し注意喚起(CVE-2024-23113) (codebook, 2024.10.10)
FG-IR-24-029 - Format String Bug in fgfmd (Fortinet, 2024.02.09)。「2024-04-09: added more affected products」。
対象に FortiPAM 1.2 / 1.3 系列、FortiWeb 7.4 系列が増えている。 一方で FortiSwitchManager は消えている。
Firefox 131.0 / ESR 128.3.0 / ESR 115.16.0 公開 (2024.10.02)
Firefox 131.0.2 / ESR 128.3.1 / ESR 115.16.1 が公開された。 0-day 欠陥 1 件 CVE-2024-9680 を修正。
Mozilla Foundation Security Advisory 2024-51 (Mozilla, 2024.10.09)
「Firefox」に緊急のセキュリティ更新 ~悪用が確認されている致命的な脆弱性を修正 (窓の杜, 2024.10.10)
》 妻を薬漬けにして50人の男にレイプさせた夫が撮影した「衝撃の動画」公開 (NYTimes / クーリエ・ジャポン, 10/8)。「フランス レイプ裁判」。なんじゃこりゃあ……。
元記事はこれか? Shock in French Court Shown Videos of Men Accused of Raping Drugged Woman (NYTimes, 10/4)
》 東京海上日動、顧客情報7.2万件流出か 損保ジャパン、三井住友海上も……委託先がランサム被害 (ITmedia, 10/8)。こちらの件:
当社業務委託先におけるランサムウェア被害に伴う 情報漏えいのおそれについて (東京海上日動火災保険, 10/7)
不正アクセスに関するご報告 (東京損保鑑定, 10/7)
当社は、2024年8月29日にランサムウェア被害の事実を認識 (中略) 調査の終了は11月以降を予定しております。
》 犬の”脱糞フィギュア”をおすすめ、TemuのX広告に「クソ広告」の声 (ITmedia, 10/7)。Temu もアレだが、元はと言えば X がクソなんだよな。 ぜんぶイーロン・マスクのせい。
》 “パスワード変更”をユーザーに定期的に要求はダメ 米国政府機関が発表 「大文字や数字を入れろ」の強制もNG (@IT, 10/7)。 NIST SP 800-63 Digital Identity Guidelines Second Public Draft of Revision 4 の SP 800-63B Authentication and Lifecycle Management の件。
》 牧原法相、旧統一教会と接点 関連行事37回出席、閣僚9人目 (共同, 10/8)。ズブズブっぷりを隠蔽していた。
自民党が公表した調査結果や、共同通信によるアンケートでは接点が確認されていなかった。
》 Google PlayからロシアKasperskyのアプリが消える 米政府の方針か (ITmedia, 10/7)
》 『エクソシスト』『恐怖の報酬』のウィリアム・フリードキン監督×アル・パチーノ 全米を震撼させた問題作 映画『クルージング』がリバイバル上映 (otocoto.jp, 10/4)
70年代、ニューヨークで実際に発生したゲイの男たちを狙った猟奇連続殺人事件を基にしたこのクライム・サスペンスは、結果的にハリウッド映画史上初めて男同士のSMセックスを正面から描いたことにより (中略) 大変な話題作となったものの、批評と興行は振るわず、今世紀に入るまで長らく語る者も稀だった。
しかし、近年、『パルプ・フィクション』のクエンティン・タランティーノ、『ドライヴ』のニコラス・ウィンディング・レフン、『燃ゆる女の肖像』のセリーヌ・シアマら名監督たちが本作をフェイバリットに挙げ、各国のクィア映画祭では、HIVウイルスが世界に蔓延する前のゲイ・カルチャーを記録した貴重な作品として再上映、再評価される機会が増えている。
》 【速報・動画あり】いすみ鉄道で脱線 全線で運転見合わせ 乗客100人けがなし 運輸安全委が調査官派遣 (千葉日報, 10/4)。関連:
令和6年10月4日に発生した輸送障害事故について (いすみ鉄道, 10/4)
ツイート
今日のいすみ鉄道脱線事故の写真を見るとレールが横倒しになっていた。本来レールは枕木に固定されているので固定用の犬釘に問題があった可能性が高い。この方は2年以上前からその犬釘が抜けている箇所があることを指摘されていたので、もしかしたら今回の事故の現場もそうなっていた可能性がある。 https://t.co/bDjLEhZcKF
— たーくん (@chirashinoura22) October 4, 2024
》 Eight rules for “civilian hackers” during war, and four obligations for states to restrain them (赤十字国際委員会 ICRC, 2/8)。DeepL 訳:
民間ハッカーは、活動する国の法律を尊重しなければならない。 武力紛争時には、国際人道法も尊重しなければならない;
国際人道法は何百もの規則から構成されている。 ICRCは、武力紛争下でサイバー作戦を行う者(非国家武装集団や民間ハッカーを含む)が尊重すべき8つの規則を取り上げた。 これらは新しいルールではなく、既存の法的義務を再定義したものである。
関連: 国際人道法に違反するとどうなるの? (赤十字国際委員会, 7/1)
ライクキッズ (保育サービス運営)
サイバー攻撃被害の可能性について(第1報) (ライクキッズ, 10/1)
当社事業の運営委託会社へのサイバー攻撃被害の可能性について (H2O リテイリング, 10/4)
斑鳩町立図書館システム (奈良県生駒郡斑鳩町)
【重要なお知らせ】システムの導入作業中のランサムウェア感染に関するご報告 (京セラ, 10/2)。10/1 利用開始予定だったが 9/30 に状況発生なので「導入作業中の」という説明になっているみたい。
斑鳩町立図書館システム構築業務におけるコンピュータウィルス感染発生事案について(第1報) (斑鳩町, 10/3)
本システムサーバ内には、図書館利用者の個人情報(21,994人分)が含まれており、現時点で情報の流出や金銭の要求等は確認されておりませんが、引き続き調査を継続し、その結果等を速やかにお知らせいたします。
関通「クラウドトーマス」
当社におけるサイバー攻撃によるシステムの停止事案 発生のお知らせ (関通, 9/13)
【第2報】当社におけるサイバー攻撃による システムの停止事案に関する報告 (関通, 9/17)
個人情報漏洩に関する続報 (関通, 9/25)
【第3報】当社におけるサイバー攻撃によるシステムの停止事案発生のお知らせ (関通, 9/28)
関通の「クラウドトーマス」などにランサムウェア被害 影響受けた委託元一覧 (ツギノジダイ, 9/20)
関通のサイバー攻撃とランサムウェアの被害まとめ (Rocket Boys, 10/3)
ガンバ大阪公式オンラインショップ
【お詫びとご報告】公式オンラインショップにおける個人情報流出の可能性について (ガンバ大阪公式オンラインショップ, 9/17)
公式オンラインショップ再開のお知らせ (ガンバ大阪公式オンラインショップ, 9/27)
9/17(火)フェリシモより、関通の倉庫管理システム「クラウドトーマス」がランサムウェアによるサイバー攻撃を受けて個人情報漏えいの可能性があるとの報告を受けており、オンラインショップのすべてのサービスを同日より停止させていただいておりました。
その後、フェリシモと協議の上、当面の間、当該システムを使用せずに発送を行うことで作業における安全性が確保できたため、9/27(金)17時より再開する運びとなりましたのでご報告申し上げます。
》 〈兵庫県・資金疑惑が拡大〉クラファン不発で阪神・オリックス優勝パレードのお金が足りず、副知事が泣きついた財団はポンッと最高額の2000万円を出した……その財団名を県はなぜか黒塗りに (集英社オンライン / Yahoo, 10/4)
「昨年11月14日に神戸にあるX財団が100万円の協賛金提供を県に約束し、パレード後の12月27日に入金が行なわれました。しかし翌日の12月28日、片山副知事の名で財団に追加支援を求める文書が出ています。
『安全対策経費が開催直前にさらに必要となったことにより、結果として事業費が想定を上回る事態となりました』として、『更なるご支援を』と求めています。資金不足の主因であるクラファンの不発には触れていません」
書類には要求額はなかったというが、県は同じ12月28日付でX財団に「2000万円」と記した請求書を発行しており、この日に2000万円の追加拠出が合意されたと関係者は指摘する。
関連:
ツイート
やっと
— 大津皇子 (@Prince_Ootsu) October 3, 2024
これが
表に出てきたわ pic.twitter.com/QxYTnAczT6
財団概要 (一般財団法人 敬愛まちづくり財団)
》 NHK、ネット受信料を1100円に設定と複数報道 地上契約と同額に (ITmedia, 10/4)
》 X(旧Twitter)の価値がさらに下落との試算、マスク氏買収前の実に5分の1強に (Internet Watch, 10/4)。仕方ない。
》 中国 ICBM「DF-31A」を太平洋に発射 (海国防衛ジャーナル, 9/25)
》 uBlock Origin LiteがFirefoxの公式拡張機能ストアから撤退、レビュープロセスに不満 (gigazine, 10/2)
開発者の意思表明後にMozillaから謝罪のメールが届いたそうです。メールには「再レビューした結果、以前の判断は間違っていたと判断し、アドオンを元に戻しました。間違いをおわび申し上げます。今後、レビューに関してご質問やご不明な点がございましたらいつでもご連絡ください」と書かれていたとのことですが、開発者は考えを変えませんでした。
》 1847年に遭難したフランクリン遠征隊でカニバリズムが行われていたことが研究で裏付けられる (gigazine, 10/3)
》 聴覚障害者に配慮した新型警光灯の導入について (警察庁, 10/1)。「緊急走行中 = 赤色灯 + サイレン」なので、 聴覚障害者には判断が難しかったと。 新型では赤色灯の発行パターンでも緊急走行中か否かがわかりますよと。 なるほど。
関連: 「緊急なの?」 サイレン鳴らさず「赤色灯のみ」で走行するパトカーは何のためなのか (乗りものニュース, 2023.10.16)
実は「赤色灯のみを点灯」して走行しているパトカーは、「緊急車両(緊急自動車)」に該当しません。
そもそも、緊急車両は「必ず赤色の警告灯を点灯させ、サイレンを鳴らして走行しなければいけない」と、道路交通法第39条および同法施行令第14条の規定により定められています。
そのため、赤色灯の点灯だけでは緊急車両とみなされないのです。
(緊急自動車の要件) (e-gov 法令検索 道路交通法施行令)
第十四条
前条第一項に規定する自動車は、緊急の用務のため運転するときは、道路運送車両法第三章及びこれに基づく命令の規定(道路運送車両法の規定が適用されない自衛隊用自動車については、自衛隊法第百十四条第二項の規定による防衛大臣の定め。以下「車両の保安基準に関する規定」という。)により設けられるサイレンを鳴らし、かつ、赤色の警光灯をつけなければならない。
ただし、警察用自動車が法第二十二条の規定に違反する車両又は路面電車(以下「車両等」という。)を取り締まる場合において、特に必要があると認めるときは、サイレンを鳴らすことを要しない。
第二十二条は最高速度規定ですね。
》 米国 英国 オーストラリア Evil Corpのメンバーを制裁 (まるちゃんの情報セキュリティ気まぐれ日記, 10/2)、 ロシア政府が支援するランサムウェアギャング「Evil Corp」がNATO同盟国にサイバー攻撃とスパイ活動を行ったとイギリス当局が発表、イギリス・アメリカ・オーストラリアが制裁を科す (gigazine, 10/2)
》 Europol Lockbit関係者を新たに逮捕し、経済制裁も加える (まるちゃんの情報セキュリティ気まぐれ日記, 10/2)
》 「AIが生成したゴミでネットが汚染された」研究用データベースが更新停止したわけとは? (新聞紙学的, 9/24)
》 侵入型ランサムウェア攻撃発生時に残るWindowsイベントログの調査 (JPCERT/CC, 9/26)
》 産業制御システムを対象としたSIRT(制御系SIRT)の実態に関する調査報告書 - 一般製造業 - (JPCERT/CC, 9/27)
Firefox 131.0 / ESR 128.3.0 / ESR 115.16.0 公開 (2024.10.02)
Thunderbird 128.3.0esr 出ました。
Thunderbird 128.3.0 ESR がリリースされた (mozillaZine, 2024.10.03)
iOS / iPadOS 18.0.1 公開。2 件のセキュリティ欠陥を修正。
CVE-2024-44207 - Media Session (対象は iPhone 16 全モデルのみ)
「メッセージ」アプリの音声メッセージが、マイクインジケーターがアクティブになる前に数秒間の音声をキャプチャできる可能性がある。
CVE-2024-44204 - Passwords
ユーザーが保存したパスワードが、VoiceOver によって大声で読み上げられる可能性がある。
watchOS 11.0.1、visionOS 2.0.1、macOS Sequoia 15.0.1、Safari 18.0.1 も公開されているが、これらには CVE 番号が付与されるようなセキュリティ修正はされていないそうで。
》 堀井雄二氏と鳥嶋和彦氏出演番組の『ドラクエ3』一部表現変更にまつわる発言の海外での「誤訳」切り抜きめぐり…拡散防止のお願いへ (Game*Spark, 10/3)、 「ご報告とお願い」のツイート (twitter, 10/3)。 迷惑千万。
》 マスク氏、保守系団体に献金 トランプ氏支持表明前から=関係者 (ロイター, 10/3)
》 ソル・コーテフ注射用 100 ㎎の供給に関するお詫びとお願い およびソル・コーテフ静注用 250 ㎎、同 500 ㎎ 限定出荷のご案内 (ファイザー, 2024.10)。ステロイドです。以下の引用中の太字は小島によるもの。
【出荷停止となる理由(ソル・コーテフ注射用100㎎)】
本製品は、2024年7月(第1報)本製品の中間製品を製造する海外製造所における製造キャパシティの影響により本製品の製造が遅延しているため、本製品の限定出荷(B:出荷量減少)を開始させていただきました。
さらに今般、本製品を製造している製造ラインの無菌性を確認するための検証(培地充填試験)の結果から、製造ラインの無菌性に疑義が発生しました。疑義発生後、速やかに原因調査を進め、原因部分の是正及び再発予防措置を実施しました。その後、改めて再度培地充填試験を実施した結果、製造ラインの無菌性が確認されましたので、現在(2024年10月初旬時点)、製造再開に向けて調整を進めているところです。しかしながら当該製造ラインは本邦のみならず複数製品を全世界向けに製造していることから、製造再開時期の調整が必要となるため、本製品の製造再開には相当の時間を要することが見込まれております。
「製造ラインの無菌性」に関して、実際に問題があったということですか……。
【限定出荷開始の理由(ソル・コーテフ静注用250㎎、同500㎎)】
ソル・コーテフ静注用250㎎、同500㎎(以下、250㎎製剤、500㎎製剤)は、本製品の代替により需要が増加しております。また、2024年10月から本邦で出荷予定であった製品の定量試験における含量が承認規格に適合しないことが判明し、出荷できない事象が発生しました。現在、原因究明、改善策の検討を進めておりますが、弊社の在庫状況及び今後の製造予定から、250mg製剤については「B:出荷量減少」、500mg製剤については「A:出荷量通常」にて限定出荷を開始させていただくことといたしました。
なお、現在出荷中の250mg製剤、500㎎製剤は承認規格に適合していることを確認しております。
こちらは需要増の上に、含量がおかしい事態が発生していたと……。 おまけに「現在、原因究明、改善策の検討を進めておりますが」ということは、まだ終ってないと。
めちゃくちゃですな……。
》 米国で感染拡大、もはや鳥だけの問題ではない「鳥インフル」問題 (MIT Technology Review, 9/22)
米国ではこれまでに、14の州で合計208の牛の群れの感染が報告されている。州によっては、牛の感染例が1、2例しか報告されていないところもある。しかし、検査を多く実施している州でウイルスが急速に牛の群に広がっていることを考えると、全容が明らかになっている可能性は極めて低いとピーコック博士は言う。(中略)
米国の牛群から鳥インフルエンザ・ウイルスを排除するのは、すでに手遅れかもしれない。ウイルスが蔓延し続けると、個体群内で安定化する可能性がある。これは、世界中の豚インフルエンザで起こったことであり、大惨事につながる可能性もある。
中東情勢一段と緊迫で民間航空便に混乱、各空港で欠航や遅れ (ロイター, 10/3)
LOTポーランド航空の広報担当者は「主にインド行きを含む全便は、新たな情報が得られるまでイラン領空の飛行を回避している」と述べた。
欧州航空安全機関(EASA)は2日、イスラエルがイランに対する報復攻撃を行う懸念が高まっている中で、航空各社にイラン領空を飛行しないよう勧告した。EASAは9月末、イスラエルとレバノンの領空飛行回避も助言していた。
焦点:イランの供給途絶でも対応可能なOPEC、紛争全面拡大なら苦境か (ロイター, 10/3)
イラン・イスラエル、さらなる攻撃を互いに警告 安保理会合 (ロイター, 10/3)
ヒズボラ最高指導者、殺害数日前に停戦に同意 レバノン外相が発言 (CNN, 10/3)。ナスララ師。
ハビブ氏はCNNのインタビューで、「ナスララ師は同意していた」と発言。レバノンのベリ国民議会(国会)議長がヒズボラと協議の上、米国やフランスに状況を説明したところ、イスラエルのネタニヤフ首相もバイデン、マクロン両氏の声明に同意している旨を告げられたという。
ハビブ氏によると、その後はホワイトハウスのホッホシュタイン上級顧問が停戦交渉のためレバノンに向かう予定になっていた。
イスラエル カッツ外相 国連のグテーレス事務総長を入国禁止に (NHK, 10/3)
「合理的な説明は無理?」イスラエルの“戦争”の行方は? (NHK, 10/2)。「イスラエルの政治やパレスチナ問題に詳しい防衛大学校の立山良司名誉教授に聞きました」。
イスラエルとしては、やり続けているのは合理的な理由ではなくて、イスラエルのユダヤ人の社会の中での10月7日のショックというか怒りというか、あの出来事に起因している恐怖心というか、そういうものを少しでも和らげたいという意識が強いんだと思います。
私は最近、合理的に説明をしようというのは無理だと思っています。
彼らのゴールというのは、彼らの気持ちが癒やされる、彼らの恐怖心が少しでも小さくなるということで、それに政治的な思惑や入植者の運動などが絡んで「ガザに再入植しよう」みたいな声が結構あるわけです。
恐怖心やショックという意識と、右派を中心とする大イスラエル主義的な思想が一緒になって、ガザ戦争を終えられない状況があるのだと思います。
【解説】 イラン、イスラエル攻撃という賭けに 同盟相手への打撃で屈辱受け (BBC, 10/3)
What we know about Iran's missile attack on Israel (BBC, 10/2)
》 豪州主導の「OTサイバーセキュリティの原則」に日本も署名、社会インフラのサイバー防衛のため国際連携を強化 (Internet Watch, 10/3)
Chrome 129.0.6668.89/.90 (Windows / Mac) および 129.0.6668.89 (Linux) 公開。4 件のセキュリティ修正を含む。関連:
Chrome for Android Update (Google, 2024.10.01)。Chrome 129 (129.0.6668.81) for Android。
》 イランがイスラエルを弾道ミサイル (200 発?) で無警告攻撃 (10/1)
イランがイスラエルにミサイル発射、アメリカが迎撃支援と発表 (BBC, 10/2)
イランがイスラエルにミサイル180発以上発射 イスラエル軍が発表 (BBC, 10/2)
イラン 大規模ミサイル攻撃 イスラエル首相は対抗措置の考え (NHK, 10/2)
A Wider War in the Middle East, From Hamas to Hezbollah and Now Iran (NYTimes, 10/2)
イスラエルにミサイル200発 イラン、反撃で「全インフラ標的」と警告 (AFP, 10/2)
イラン軍のモハンマド・バゲリ(Mohammad Bagheri)参謀総長は2日、イスラエルに対して約200発のミサイルを発射した前日の攻撃について、イランの領土が反撃を受けた場合、イスラエル全土のインフラを標的とすると明言した。
直前の状況
米にも制御不能のイスラエル、今度はレバノン地上作戦 (AFP, 10/1)
周辺国の懸念
イスラエル、阻止せねばトルコも標的に エルドアン氏 (AFP, 10/2)
エルドアン氏は、イスラエルがパレスチナ自治区ガザ地区(Gaza Strip)で行っている「テロとジェノサイド(集団殺害)」がレバノンにまで及んでいると指摘し、阻止しなければ、トルコも標的にされると警鐘を鳴らした。
エルドアン氏は「率直に言って、イスラエル指導部は、約束の地という妄想と純粋な宗教的狂信に基づいて行動している。パレスチナとレバノンの次は、トルコも狙うだろう」と述べた。
イスラエルがトルコ (= NATO) に喧嘩を売る状況は想定できないものの、 元凶がイスラエルであることには同意する。関連:
トルコ大統領、国連でイスラエルを糾弾 「西側価値観は瀕死」 (ロイター, 9/25)
国連総会が武力行使勧告すべき、イスラエル攻撃阻止でトルコ大統領 (ロイター, 10/1)
》 「夕刊フジ」休刊へ ネットニュースの先駆け「zakzak」も (ITmedia, 10/1)
》 Microsoft、MRメガネ「HoloLens 2」を生産終了 (PC Watch, 10/2)。遂に終了。
》 Microsoft、コンシューマー向け「Office 2024」を米国時間10月1日リリース (窓の杜, 10/1)
》 【速報】「Windows 11 2024 Update」(バージョン 24H2)の一般提供が開始 (窓の杜, 10/2)
》 IoT機器の「セキュリティ要件適合評価及びラベリング制度」(JC-STAR)、2025年3月からIPAが運用開始 (Internet Watch, 10/1)。予定ギリギリの 9/30 に発表されたのですね。
出ました。
Firefox 131 がリリースされた (mozillaZine, 2024.10.02)
Firefox for Android 131 がリリースされた (mozillaZine, 2024.10.02)
Thunderbird 128.3.0esr 出ました。
Thunderbird 128.3.0 ESR がリリースされた (mozillaZine, 2024.10.03)
Firefox 131.0.2 / ESR 128.3.1 / ESR 115.16.1 が公開された。 0-day 欠陥 1 件 CVE-2024-9680 を修正。
Mozilla Foundation Security Advisory 2024-51 (Mozilla, 2024.10.09)
「Firefox」に緊急のセキュリティ更新 ~悪用が確認されている致命的な脆弱性を修正 (窓の杜, 2024.10.10)
Thunderbird 131.0.1 (テスト版) / 128.3.1esr / 115.16.0esr 公開。 Mozilla Foundation Security Advisory 2024-51 と同様に CVE-2024-9680 を修正。
Thunderbird 128.3.1 ESR および 115.16.0 がリリースされた (mozillaZine, 2024.10.11)
Mozilla Foundation Security Advisory 2024-52 Security Vulnerability fixed in Thunderbird 131.0.1, Thunderbird 128.3.1, Thunderbird 115.16.0 (mozilla, 2024.10.10)
Release Notes: Thunderbird 131.0.1 / 128.3.1esr / 115.16.0esr (thunderbird.net, 2024.10.10)
Firefox 131.0.3、Firefox for Android 130.0.3 公開。セキュリティ修正 1 件を含む。
Firefox 131.0.3、Firefox for Android 131.0.3 がリリースされた (mozillaZine, 2024.10.15)
Mozilla Foundation Security Advisory 2024-53 Security Vulnerability fixed in Firefox 131.0.3 (Mozilla, 2024.10.14)。CVE-2024-9936。High 。
また Thunderbird 115.16.1esr が公開された。Thunderbird 115 の最終リリースだ、とされている。 セキュリティ修正は無いようだ。
Thunderbird 115.16.1esr Release Notes (thunderbird.net, 2024.10.14)
Thunderbird 128.3.2esr / 128.3.3esr および 115.16.2esr が公開された。 115.16.1esr が 115 の最終じゃなかったんかい。
Thunderbird 128.3.2 ESR がリリースされた (mozillaZine, 2024.10.18)
Thunderbird 128.3.3 ESR がリリースされた (mozillaZine, 2024.10.23)
Thunderbird 115.16.2 がリリースされた (mozillaZine, 2024.10.21)
新機能: 年末の寄付のお願いを追加
変更点がこれだけって、アナタ……。
![[セキュリティホール memo]](/~kjm/security/memo/memologo-s.png)