![[SCAN Security Wire NP Prize 2001]](/~kjm/security/memo/scan_prize.gif){kind=small}
「Scan Security Wire」 主催の SCAN Security Wire NP Prize 2001 を受賞しました。
「ネットランナー」の ベスト・オブ・常習者サイト 2003 で金賞を、ベスト・オブ・常習者サイト 2004 で銀賞を受賞しました。
Last modified: Mon Oct 14 16:40:12 2019
+0900 (JST)
短縮 URL: http://goo.gl/pwSG QR コード:
http://goo.gl/pwSG.qr
Security Watch さんが店じまいされてしまったので、 個人で追いかけてみるテストです。 備忘録として書いておくつもりなので、 Security Watch さんのような詳細なものではありません。 基本的なターゲットは UNIX、Windows、Mac OS (priority 順) とします。 また、このページの内容はどのページにも増して無保証であることを宣言しておきます。全ての情報が集まっているわけもありません。
ここに載せる情報については、可能な限り 1 次情報源へのリンクを作成しておきます。 各自で 1 次情報源の内容を確認してください。 このページの内容をくれぐれも鵜飲みにしないように。 間違いを発見された方、記載されていない情報をご存知の方、ぜひおしえてください。よろしくお願いいたします。
このページの情報を利用される前に、注意書きをお読みください。
[ 定番情報源 ] 過去の記事: 2019 | 2018 | 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998
|
|
「Scan Security Wire」 主催の SCAN Security Wire NP Prize 2001 を受賞しました。 |
|
「ネットランナー」の ベスト・オブ・常習者サイト 2003 で金賞を、ベスト・オブ・常習者サイト 2004 で銀賞を受賞しました。 |
復刊リクエスト受付中:
ジェイムズ.F.ダニガン「 新・戦争のテクノロジー」(現在56票)
中山信弘「ソフトウェアの法的保護」 (現在116票) (オンデマンド購入可)
陸井三郎訳・編「ベトナム帰還兵の証言」 (現在107票)
林克明「カフカスの小さな国 チェチェン独立運動始末」 (現在172票)
田中徳祐「我ら降伏せず−サイパン玉砕戦の狂気と真実」 (復刊決定)
RSS に対応してみました。
小ネタは含まれていません。「政治ねたウゼェ」という人は RSS ベースで読むと幸せになれるでしょう (ウザくない人は こっちの RSS がよいかもしれません)。
RSS 1.0 ですので、あくまで RDF Site Summary です。
現在は Really Simple Syndication には対応していません。
今すぐ Really Simple Syndication がほしい人は、のいんさんによる
Web サイトの RSS を勝手に出力するプロジェクト
……のものがうまくいっていないようなので、
セキュmemoのRSS生成
をご利用ください。Tamo さん情報ありがとうございます。
》 あいちトリエンナーレ「表現の不自由展」再開後初の天皇動画上映に拍手が湧いた理由 (篠田博之 / Yahoo, 10/10)。10/8 の2回目入場者30人に篠田さんが当選されたそうで。当日の様子のレポート。
》 Thoma Bravo to take Sophos Group private in $3.8 billion deal, focus on cybersecurity (reuters, 10/14)。投資会社ですか。
》 Endpoint Protection クライアントと Mac との互換性 (シマンテック, 10/9更新)。 macOS 10.15 Catalina の対応は「未定 (14.2 RU2 の見込み)」になっている。 SEP 14.2 RU2 はまだリリースされていない。 リリース済みの Symantec Endpoint Protection のバージョン情報 (シマンテック, 9/30 更新) を見ると、14.2.1.1 (14.2 RU1 MP1) ビルド 14.2.4815.1101 が最新。 何が変わったんだ? と思って Endpoint Protection 14.2 RU1 MP1 で修正された問題とコンポーネントのバージョン: 14.2.4815.1101 の追加修正 (シマンテック, 9/27 更新) を見ると
14.2.4815.1101 の追加修正
14.2 RU1 MP1 へアップグレード後、一部のアプリケーションにアクセスできない
修正 ID: ESCRT-2418
症状: バージョン 14.2 RU1 MP1 にアップグレードした後、一部のユーザーで MMC.exe、RegEdit.exe などのアプリケーションにアクセスしたり、Windows Update を適用したりできない。
ソリューション: インストール、アップグレード、またはアンインストール時に、ClDS アーティファクトを Windows CatRoot ディレクトリから適切にクリーンアップします。
おぉぅ……
あとこんなの: Endpoint Protection Manager 14.2 RU1 に JDB を適用しても Endpoint Protection 14.2 RU1クライアントが侵入防止定義を更新しない (シマンテック, 9/30 更新)。SEP 14.2 RU2 で修正予定。
この問題は Symantec Endpoint Protection (SEP) 14.2 RU2 で改修される予定です。入手可能になるのは、現時点では 2019 年 11 月の予定です。
そういえば出てました。
About the security content of macOS Catalina 10.15 (Apple, 2019.10.07)。 10.13 や 10.14 にも同様の修正が施されるのかどうかは不明。
About the security content of iTunes 12.10.1 for Windows (Apple, 2019.10.07)。UIFoundation と WebKit。任意のコードを実行できる欠陥などを修正。
About the security content of iCloud for Windows 10.7 (Apple, 2019.10.07)、 About the security content of iCloud for Windows 7.14 (Apple, 2019.10.07)。 前者は Windows 10 以降用、Microsoft Store 経由。 後者は Windows 7 以降用。 UIFoundation と WebKit。任意のコードを実行できる欠陥などを修正。 iTunes 12.10.1 とほぼ同内容だが、CVE-2019-8720 は含まれない。
About the security content of Swift 5.1.1 for Ubuntu (Apple, 2019.10.14)。Foundation。
また、セキュリティ欠陥の修正は含まれないが、Safari 13.0.2 が 2019.10.07 付で macOS Mojave 10.14.6 と High Sierra 10.13.6 用として公開されている。
気象庁「1200人以上犠牲の狩野川台風に匹敵 特別警報も」 (NHK, 10/11)
台風19号に伴い首都圏でJR東日本が計画運休を決定、新幹線・私鉄各線も運休に (Buzzap!, 10/11)
あすは都心部で事実上鉄道利用できない状態に (NHK, 10/11)
【速報】東京ディズニーランド・ディズニーシーが12日に終日休園、台風19号の影響で (Buzzap!, 10/11)
イトーヨーカ堂 12日は8都県の124店舗すべてで臨時休業 (NHK, 10/10)
台風19号による集荷・配達への影響について(10月11日14時現在) (佐川急便, 10/11)。「以下の地域において、10月12日(土)のお荷物の集荷・配達及び営業所・サービスセンターでのお荷物のお預かりと引き渡し業務を中止させていただきます」 「茨城県、栃木県、群馬県、埼玉県、千葉県、東京都、神奈川県、山梨県、静岡県、愛知県、三重県」
台風19号の影響による荷物のお届けについて (ヤマト運輸, 10/11)。関西、中部、北信越、関東、東北で終日停止など。
》 進次郎 ニューヨークへ ~担当記者同行記~ (NHK, 10/4)
》 Amazon製監視カメラによる録画がAmazon従業員によってチェックされていたことが判明 (gigazine, 10/11)
》 アマゾン、機械学習で偽造品を撲滅へ 「Project Zero」日本でも開始 (ITmedia, 10/9)
tmux 実装に欠陥があり、iTerm2 3.3.6 で修正されているそうです。
Chrome 77.0.3865.120 公開。5 件のセキュリティ欠陥を修正。 $20500 なんて懸賞金も出てるなあ。
香港警察、実弾発砲、高校生が重体 (10/1)
香港デモ「反中」が鮮明に 複数の住宅街で衝突 (朝日, 10/1)
警官が実弾発砲、高校生が肩撃たれ重体 香港大規模デモ (朝日, 10/1)。「肩」と言っているのは香港警察なので注意。
香港デモで警官が実弾発砲 18歳高校生が重体 (日経, 10/1)
香港で抗議参加者が実弾で撃たれる、デモ開始から初めて (BBC, 10/1)
香港デモ、18歳が警官に撃たれ負傷…至近距離からか (読売, 10/2)
香港、実弾使用に衝撃 警察への批判高まる (日経, 10/1)
香港警察、4カ所で実弾6発発砲 180人以上を逮捕 (日経, 10/2)。「残りの5発は威嚇射撃で、けが人は出ていないと警察は説明した」
高校生に発砲、在校生ら抗議 香港デモ「動画見て恐怖」 (朝日, 10/2)
【香港発】デモ隊の少年、実弾で胸撃たれ重体 警察は「暴動」と定義 (田中龍作ジャーナル, 10/2)
香港当局、銃撃された高校生を起訴 反発強まる (日経, 10/3)
高校生に発砲、広がる不信と怒り 金融街でも数千人デモ (朝日, 10/3)
中国、香港デモ「カラー革命」と断定 強硬姿勢前面に (日経, 10/5)
香港の警官はなぜ18歳の高校生を撃ったのか「発砲事件」の真相 (ふるまい よしこ / 現代ビジネス, 10/5)。前の週から警官の対応が変わってきていたという話。
前掲のニューヨークタイムズの検証動画でも指摘されているが、荃湾で18歳の青年の胸を撃ち抜いた警官は、同時にゴム弾かビーンバック弾用のライフルとペッパースプレーを所持しているのが動画で確認できる。なのに、腰につけていたホルスターからわざわざ拳銃を抜き、それを相手の胸めがけて発射したのである。
検証動画の記事はこちら: Hong Kong Police Shoot a Protester, 18, With a Live Bullet for the First Time (NYTimes, 10/1)。 また、林鄭行政長官のコミュニティ対話 (9/26) での発言を紹介。
だが、ここで林鄭長官は非常に興味深い、驚くべき発言をしている。
背広姿の若い男性が述べた、「香港の一国二制度を破壊しているのは、香港独立派ではない。香港は一国二制度を維持できるし、自治をきちんとやっていけるはずだ」という意見に向けてこう言ったのだ。
「若者と一緒に歩み続けたいと思っています。しかし、大変重要なことですが、香港は一国二制度は維持するといっても、それは『自治』ではない。申し訳ないのですが、香港の自治は一国二制度ではないのです。なのできちんと理解してほしいのは、我われにはボトムラインがあるということです」
「港人治港」、つまり「香港人による香港自治」と訳されてきたこの言葉を彼女は否定した。さらに、主権返還時から中国政府も高らかにもてはやしてきた「高度な自治」もそこで否定したのである。
香港デモ急変!香港政府・中国、若者、日本の政治家が全員「残念」な理由 (上久保誠人 / ダイヤモンド online, 10/8)
「警察は肺を返せ!」香港デモ実弾発砲で学友が涙の抗議 「若者狩り」が止まらない (週刊朝日 dot., 10/9)
香港政府、緊急状況規則条例を発動。覆面禁止法を制定 (10/4)、発効 (10/5)
香港、デモ参加者の覆面禁止へ 過激行為抑制狙う (日経, 10/3)
香港政府、デモ参加者のマスク禁止 多数が激しい抗議 (BBC, 10/5)。10/4 の様子。
香港の「覆面禁止法」は対岸の火事じゃない (東京, 10/5)
「緊急法」とは? “緊急事態“に政府が議会無視で法案施行が可能に 香港返還後で初の発動 (ハフポスト, 10/5)
香港、禁止のマスク姿でデモ 「緊急条例」に反発 (日経, 10/5)。10/5 の様子。
香港、覆面姿で数万人デモ 禁止規則に抗議 (日経, 10/6)。10/6 のデモ。
香港、数万人がマスク姿でデモ 政府機関を襲撃など暴力行為 (BBC, 10/7)。10/6 のデモ。
あえてマスク姿で覆面禁止法に抗議 香港デモ怒り広がる (朝日, 10/7)。10/6 のデモ。
[FT]香港デモ、銃撃された高校生が抗議活動の象徴に (日経, 10/7)
「覆面禁止法」で初起訴、香港 マスク姿で抗議も (AFPBB, 10/7)
香港、覆面禁止で77人逮捕 累計逮捕者2300人超 (日経, 10/8)
香港行政長官「緊急条例、覆面禁止法以外の適用は計画せず」 (ロイター / ニューズウィーク日本版, 10/8)
香港警察追跡アプリ HKmap.live、アップルは一旦取り下げるも一転して承認
アップル、香港の警察追跡アプリを承認。App Storeからの取り下げを撤回 (engadget, 10/8)
中国、アップルに警告 香港デモ支持は「浅はかで無謀」 (AFPBB, 10/10)。人民日報ですか。
中国がアップル非難、香港警察の活動追跡アプリ承認で (Wall Street Journal, 10/10)
炎上: ヒューストン・ロケッツ方面
16年ぶり日本開催「NBA」に飛び火した香港デモ問題。Twitter投稿に激怒の中国、炎上は止まるのか? (Business Insider Japan, 10/7)
「NBAは表現の自由を守る」チーム幹部が“香港デモ支持”ツイート、中国で批判。トップが釈明 (ハフポスト, 10/9)
「TikTokから消えたヒューストン・ロケッツ」が意味すること (マイナビニュース, 10/10)
炎上: ティファニー方面
右目隠しただけ… ティファニーに「香港デモ支持」批判 (朝日, 10/9)
ティファニー広告に中国人抗議=片目姿は「香港デモ支持」 (時事, 10/9)
Hong Kong|香港での抗議デモの影響拡大 「ティファニー」は投稿削除 中国「リーニン」はNBAチームとの提携中止 (SEVENTIE TWO, 10/9)
ゲーム方面
香港の反政府デモがeスポーツに飛び火、デモ参加者を支持した選手をブリザードが排除 (CNET, 10/9)
Blizzardは、中国ネット大手のテンセントが有力株主であるゲーム会社のひとつ。同社は2017年時点でActivision Blizzardの株式を4.9%保有していた。そのほかUbisoft、Epic、Riot Gamesなどの各社もテンセントが株主となっている。
香港デモへの支持を表明したプロゲーマーが賞金はく奪&トーナメント参加禁止措置をとられてしまう (gigazine, 10/9)
その他
香港経済、深まる混迷 アジアの金融ハブ揺らぐ (日経, 10/5)
香港デモが組み込んだいくつもの「死」の物語 - 香港2019(11) (池田 信太朗 / 日経ビジネス, 10/8)。とても誠実な文章。
【香港発】新疆ウイグルで研修する香港警察 酷似する弾圧方法 (田中龍作ジャーナル, 10/8)
香港デモ、富裕層には無縁-オークション活況で奈良氏作品も高額落札 (ブルームバーグ, 10/9)
「デモ隊に中国スパイがいる?」「周庭さんがリーダー?」今さら聞けない“香港デモ入門・12のQ&A” (安田 峰俊 / 文春オンライン, 10/10)
「Internet Explorer」にリモートコード実行の脆弱性 ~Microsoftがパッチをリリース スクリプトエンジンにメモリ破損の欠陥 (2019.09.24)
【アプデ/10】 印刷の不具合、修正された模様 [Update 1] (ニッチなPCゲーマーの環境構築, 2019.10.09)。印刷の件は 2019.10.04 版で直ったはずが直っておらず、2019.10.09 版で直ったという話。
2019 年 10 月のセキュリティ更新プログラム (月例) (2019.10.09)
関連:
【アプデ/10】 印刷の不具合、修正された模様 [Update 1] (ニッチなPCゲーマーの環境構築, 2019.10.09)。印刷の件は 2019.10.04 版で直ったはずが直っておらず、2019.10.09 版で直ったという話。
【アプデ/7/8.1】 WindowsUpdate 2019年10月度 注意事項と各KBメモと直リンク [Update 1] (ニッチなPCゲーマーの環境構築, 2019.10.09)
》 気象庁公式の防災情報Twitterアカウントがオープン。今週末に向けて忘れずフォローを (やじうま Watch, 10/9)
》 Amazonの「注文履歴流出騒動」、ユーザーの名前や連絡先も閲覧可能だったことをアマゾンジャパンが認める (Internet Watch, 10/9)。 きちんと公開した方が好感度上がると思うのだがなあ。
10月8日時点で再度問い合わせたところ、原因は「サイト内の不具合」によるもので、Amazon.co.jpにおいて26日午前3時45分に発生し、同日午後1時15分に解消したとの回答を得られた。
さらに、この不具合によって一部ユーザーの名前、購入履歴、配送先住所、連絡先、クレジットカード下4桁の情報が他のユーザーから閲覧可能な状態になっていたことを認めた。(中略) 被害件数について確認したところ「Amazon.co.jpのアカウントのごく一部」と回答。
出ました。Windows、IE / Edge (EdgeHTMLベース)、 ChakraCore、 Office、 SQL Server Management Studio、 Open Source Software、 Dynamics 365、 Windows Update Assistant。「Open Source Software」は Open Enclave SDK と Azure App Service on Azure Stack のことでいいのかな。
関連:
Release Notes - October 2019 Security Updates (Microsoft)
Microsoftが10月の月例パッチ公開、Windowsなどの脆弱性を修正 (クラウド Watch, 2019.10.09)
関連:
【アプデ/10】 印刷の不具合、修正された模様 [Update 1] (ニッチなPCゲーマーの環境構築, 2019.10.09)。印刷の件は 2019.10.04 版で直ったはずが直っておらず、2019.10.09 版で直ったという話。
【アプデ/7/8.1】 WindowsUpdate 2019年10月度 注意事項と各KBメモと直リンク [Update 1] (ニッチなPCゲーマーの環境構築, 2019.10.09)
OpenSSH 8.1 公開。セキュリティトピックが 2 件掲載されている。
- ssh(1), sshd(8), ssh-add(1), ssh-keygen(1): an exploitable integer overflow bug was found in the private key parsing code for the XMSS key type. This key type is still experimental and support for it is not compiled by default. No user-facing autoconf option exists in portable OpenSSH to enable it. This bug was found by Adam Zabrocki and reported via SecuriTeam's SSD program.
- ssh(1), sshd(8), ssh-agent(1): add protection for private keys at rest in RAM against speculation and memory side-channel attacks like Spectre, Meltdown and Rambleed. This release encrypts private keys when they are not in use with a symmetric key that is derived from a relatively large "prekey" consisting of random data (currently 16KB).
XMSS (eXtended Merkle Signature Scheme) 鍵形式は OpenSSH 7.7 から実験的にサポートされたもの。デフォルトではコンパイルされないし、ふつうの人には関係なさそう。
Endpoint Protection クライアントと Mac との互換性 (シマンテック)。対応状況不明。
ウイルスバスター for Mac のmacOS への対応について (トレンドマイクロ)。対応状況不明。
macOS Catalina と McAfee 製品の互換性 (マカフィー)、 macOS compatibility with McAfee products (McAfee)。 Endpoint Security for Mac 10.6.5 で対応など。
Mac OS 10.15 Catalina Support and Known Issues (Sophos, 10/2)。「Required version - Sophos Endpoint 9.9.4 or above」
macOS Catalina 10.15 への対応について (キヤノンITSソリューションズ, 10/8)。「新バージョンプログラムでの対応を予定しております」
》 オランダ警察、防弾ホスティングプロバイダー KV Solutions B.V. のサーバー5台を押収、2名を逮捕 (10/1)。 botnet の C&C だったそうで。 戸井さん情報ありがとうございます。
Servers botnet offline (politie.nl, 10/2)
Dutch police take down hornets' nest of DDoS botnets (ZDNet, 10/2)
Huygens if true: Dutch police break up bulletproof hosting outfit and kill Mirai botnet (The Register, 10/3)
KV Solutions B.V. Takedown (AbuseIPDB)
日本の#KuToo ― ハイヒール着用の圧力に対する闘い (BBC, 8/1)
#KuTooへの冷やかしから考える 女性を縛り付ける"呪いの言葉"を打ち砕く方法 (上西充子 / プレジデント WOMAN, 8/23)
「#KuToo」改めてどう考える? 強制の実態も暴露 (宮地ゆう / 朝日, 8/25)
ツイート:
職場でのパンプス・ヒール着用義務付けの反対運動を先導してきた石川優実さん@ishikawa_yumi による『#KuToo――靴から考える本気のフェミニズム』。 出来たばかりのカバーをご紹介!石川さんの背後にいる男性の足元にご注目ください。写真はインベカヲリ★@kaworikawori さん。11月上旬発売予定です。 pic.twitter.com/LaaNzIbO8H
— 現代書館 (@gendaishokan) October 1, 2019
この写真に見事に釣られた人が多数いらっしゃるようで。
》 「違法ダウンロード対象拡大」法案、文化庁が意見公募 ネット上では「誘導的な質問ではないか」など疑問の声も (ITmedia, 10/4)
》 民事尋問戦略(広告) (壇弁護士の事務室, 10/4)、 若手法律家のための民事尋問戦略 (学陽書房, 10/10 発売予定)。
》 自分のパスワードが漏れていないか? Googleのチェック機能が拡張 (PC Watch, 10/4)
》 カスペルスキー、産業分野向けに独自OSを開発、システムの“免疫力“を高める「サイバーイミュニティ」へ (Internet Watch, 10/4)。このあたり:
サイバーイミュニティはどのように適用されるのか (Kaspersky, 10/4)
Internet of Things & Embedded Security (Kaspersky)
Global Transparency Initiative の件の続報も。
そこで、Kasperskyは同社が使用するツールやソースコードを第三者組織が監査・検証するための施設「Transparency Centers」をスイスとスペインに開設。国際認証SOC2の監査を完了したほか、情報セキュリティマネジメントシステム(ISMS)の国際標準であるISO27001取得に向けた取り組みも行っている。2019年12月にはアジア太平洋地域初となるTransparency Centerをマレーシアに開設する予定だ。
関連:
Kaspersky Lab、コアインフラをロシアからスイスへ移管するとともに、最初の「Transparency Center」もスイスに開設 (Kaspersky, 2018.05.16)
Kaspersky Lab、欧州で2か所目となる「Transparency Center」をマドリードに開設、また、ロシアのデータ処理関連法に関するアセスメントも実施 (Kaspersky, 4/4)
Kaspersky、内部統制を評価する保証基準SOC2 Type1監査報告書を受領 (Kaspersky, 7/24)
Kaspersky、アジアパシフィック地域初の「Transparency Center」をマレーシアに開設 ~ 3か所目となる同センターをマレーシア・サイバージャヤに設置 ~ (Kaspersky, 8/21)。「データ保管用および処理用インフラストラクチャ:ロシアからチューリッヒへの欧州ユーザーのデータ移転は、2019年末までに完了する予定です」。あら、ヨーロッパ圏のみ? world wide ではないの?
》 JPドメイン名の不正登録に関する情報受付窓口の開設 (JPRS, 10/2)
》 イラクで大規模反政府デモ、30人以上死亡 外出禁止令やネットアクセス制限も (ニューズウィーク日本版 / Yahoo, 10/4)
》 追跡! ネット通販 やらせレビュー (NHK クローズアップ現代+, 10/2)。悪貨は良貨を本当に駆逐する。
》 グーグルの量子コンピューターによる「量子超越性の実証」が、本当に意味すること (WIRED, 10/3)
Cisco Security Advisories に 2019.10.02 付でいっぱい出てきてる件のことかな。
libpcap 1.9.1 と tcpdump 4.9.3 が出たそうです。
unbound 1.7.1〜1.9.3 に欠陥。NOTIFY クエリの処理に欠陥があり、 攻略 NOTIFY クエリによって unbound デーモンが crash する。
unbound 1.9.4 で対応されている。
「Internet Explorer」にリモートコード実行の脆弱性 ~Microsoftがパッチをリリース スクリプトエンジンにメモリ破損の欠陥 (2019.09.24)
WSUS で以下が流れてきました。
Internet Explorer の累積セキュリティ更新プログラム: 2019 年 10 月 3 日 (Microsoft KB4524135)。CVE-2019-1367 に対応。
October 3, 2019—KB4524147 (OS Build 18362.388) (Microsoft KB4524147)。Windows 10 version 1903 / Server version 1903。
October 3, 2019—KB4524148 (OS Build 17763.775) (Microsoft KB4524148)。Windows 10 version 1809 / Server version 1809 / Server 2019。
October 3, 2019—KB4524149 (OS Build 17134.1040) (Microsoft KB4524149)。Windows 10 version 1803。
October 3, 2019—KB4524150 (OS Build 16299.1421) (Microsoft KB4524150)。Windows 10 version 1709。
October 3, 2019—KB4524151 (OS Build 15063.2079) (Microsoft KB4524151)。Windows 10 version 1703。
October 3, 2019—KB4524152 (OS Build 14393.3243) (Microsoft KB4524152)。Windows 10 version 1607 / Server 2016。
CVE-2019-1367 | Scripting Engine Memory Corruption Vulnerability (Microsoft, 2019.10.03 改訂) を見ると、
Version 2.0, 10/03/2019: To address a known printing issue customers might experience after installing the Security Updates or IE Cumulative updates that were released on September 23, 2019 for CVE-2019-1367, Microsoft is releasing new Security Updates, IE Cumulative Updates, and Monthly Rollup updates for all applicable installations of Internet Explorer 9, 10, or 11 on Microsoft Windows. Please see the Security Updates table for CVE-2019-1367 for the new updates. Note that these updates are available automatically via Windows Update, WSUS, or manually from the Microsoft Update Catalog. This release is separate from the October Update Tuesday release, which is scheduled for October 8, 2019.
最初のバージョンでは印刷関連で不具合が発生していたのを修正したと。 来週 (日本では 10/9) には月例更新が出るけど、それはそれで適用してね。
》 ボーイング 737 MAX墜落事故の原因は安全性向上より納期・コストを重視する社風にあるという内部告発 (gigazine, 10/3)
》 イラクがTwitterやFacebookを遮断、その直後イラク全土のネットワークの約75%がダウン (gigazine, 10/3)。「一連の通信遮断は、2019年10月1日からイラクで行われている抗議デモを妨害するための策だとみられています」
》 ニュース:Windows 7 ESU が VL だけでなく CSP からも購入可能に (山市良のえぬなんとかわーるど, 10/3)
》 Mariposa Botnet Author, Darkcode Crime Forum Admin Arrested in Germany (Krebs on Security, 10/1)
》 日経xTECH EXPO 2019での情報セキュリティに関するセミナーのご案内 (IPA, 10/3更新)。
》 Trend Micro Deep Security 11.0 Update 15 および Windows版 Trend Micro Deep Security Agent 11.0 Update 16 公開のお知らせ (トレンドマイクロ, 10/2)
》 [AD管理者向け] 2020 年 LDAP 署名と LDAP チャネルバインディングが有効化。確認を! (Microsoft Security Response Center, 10/2)
》 Chrome UI for Deprecating Legacy TLS Version (Google, 10/1)
》 増税に伴うシステムトラブルをまとめてみた (piyolog, 10/2)
》 ClamAV 0.102.0 has been released (ClamAV, 10/2)
PDFファイルを開くだけで暗号化された内容が流出する脆弱性「PDFex」が発見される (gigazine, 2019.10.02)
Practical Decryption exFiltration: Breaking PDF Encryption (pdf-insecurity.org)
How to break PDF Encryption (September 2019) (pdf-insecurity.org)
Technical details of the attacks (pdf-insecurity.org)
Desktop Viewer Applications (pdf-insecurity.org)。ほとんど駄目。仕様が駄目なので仕方ない。
PythonのDocXMLRPCServer.pyの脆弱性情報(CVE-2019-16935) (SIOS, 2019.09.29)
A reflected XSS in python/Lib/DocXMLRPCServer.py (Python.org)
JVNVU#94678942 - FON がオープンリゾルバとして機能してしまう問題 (JVN, 2019.10.01)
オープンリゾルバ問題の影響について (FON)。「FON2601Eのファームウェアバージョン1.1.7以下」は open resolver になってしまう。ファームウェアアップデートで対応。
Exim CVE-2019-16928 RCE using a heap-based buffer overflow (2019.09.30)
「Exim 4.92.3」リリース、脆弱性を修正 (OSDN, 2019.10.01)
》 海自護衛艦「いずも」わずか31億円で「空母化」のワケ F-35B戦闘機の発着艦が可能に (乗りものニュース, 9/19)。逆に言うと、とりあえず発着艦できるだけだと。
ボーイング737MAX、旧システムの安全装置が組み込まれず=関係筋 (Wall Street Journal, 9/30)。 MCAS は、パイロット操作を阻害しないような形で KC-46A 空中給油・輸送機に組み込み済だった話。KC-46A は空自も採用している機体です。
関連: USAF Reviewing Training After MAX 8 Crashes; KC-46 Uses Similar MCAS (AIR FORCE Magazine, 3/22)
中国軍事パレード全部見る【ノーカット】 (テレビ東京 / YouTube, 10/1)
中国が最新兵器を公開、軍事パレードで戦闘能力誇示 中国が披露した最新兵器の一部を紹介 (Wall Street Journal, 10/2)
[FT]中国、軍事パレードで新兵器公開 米国に対抗 米中衝突 中国・台湾 FT (日経, 10/2)
中国建国70年 軍事パレード分析 安田淳・慶応大教授/小原凡司・笹川平和財団上席研究員 (毎日, 10/2)
》 Googleがスマホ向けに「交通事故発生時に自動で緊急通報する機能」を開発中 (gigazine, 10/2)
》 性的画像目的でYahooのエンジニアが約6000人のアカウントに侵入していたことが判明 (gigazine, 10/2)
》 インターネットをより安全にする技術「DoH」に対して大手ISPが抱える懸念とは? (gigazine, 10/2)
》 著名なフリーソフト活動家が一通のメールで役職辞任に追い込まれたことに「危険な動きだ」と批判が寄せられる (gigazine, 10/1)。ストールマン氏の件。
》 Twitterの幹部が「イギリス陸軍の情報作戦部隊」に所属していることが判明 (gigazine, 10/1)
》 6600万年前、恐竜を絶滅させた小惑星の衝突直後に起きたことがわかった (Business Insider Japan, 10/1)
おしゃれワークスペース・WeWork暴露記事で孫さんピンチ。アダムCEOを更迭か (gizmodo, 9/24)
WeWorkのニューマンCEOが辞任! 専門家が指摘する、後任CEOにのしかかる問題とは (Business Insider Japan, 9/25)
コラム:ソフトバンク、ウィーワーク追加出資で損失泥沼化も (ロイター, 9/26)コラム:ソフトバンク、ウィーワーク追加出資で損失泥沼化も
WeWorkアダムCEO解任。米国の反応… (gizmodo, 9/27)
WeWorkのクラッシュはベンチャーキャピタリズムが機能している証拠だ (techcrunch, 9/30)
資金調達に失敗して大炎上の末CEOが辞任したWeWorkが正式に上場申請を撤回 (gigazine, 10/1)
WeWorkが上場申請を撤回 (techcrunch, 10/1)
全社員参加のキャンプでセックス、麻薬三昧…WeWork社内の実態明かす「衝撃の新証言」【前編】 (Business Insider Japan, 10/1)
ソフトバンクの「1兆円」投資、回収に必要なWeWorkの企業価値 (Forbes, 10/2)
WeWork Japan、最高経営責任者の就任に関するお知らせ (PR TIMES, 10/2)
WeWork日本法人CEOも辞任 ── ニューマン元CEOの義理の兄弟、本国COOなど歴任 (Business Insider Japan, 10/2)
》 シカのハンターが「動物由来の結核菌」に感染してしまったと報告される (gigazine, 10/1)。シカのドド君と毎週ラジオを放送している「日曜サンデー」スタッフは大丈夫なのだろうか (大丈夫です)。
》 TikTokはどうやって投稿される無数のコンテンツを検閲してきたのか? (gigazine, 9/26)、 TikTok、反中動画を検閲か。「5月にポリシー変更済み」の説明も (engadget, 9/26)
》 『冤罪File』2019年冬号 発売のお知らせ (冤罪事件専門誌「冤罪File」編集局公式ブログ, 10/2)。 次は 11/27 だそうです。予約した。
》 量子超越性は、不確実ながら達成された (Kaspersky, 9/30)
》 初代JPCERT/CC代表理事を務めた山口 英が「インターネットの殿堂」入り (JPCERT/CC, 9/30)。おめでとうございます。
》 10月2日「クローズアップ現代+」で「やらせレビュー」問題を特集 「レビューのブローカー」への直撃取材も (ねとらぼ, 10/1)。明日のクロ現+。
郵便局が保険を“押し売り”!? ~郵便局員たちの告白~ (NHK クローズアップ現代+, 2018.04.24)
検証1年 郵便局・保険の不適切販売 (NHK クローズアップ現代+, 7/31)
かんぽ生命 営業再開は先延ばしへ 批判が影響か (NHK, 9/25)
かんぽ報道でNHK会長を注意 経営委、郵政の苦情受け (朝日, 9/26)
かんぽ報道で郵政「お汲み取り頂いた」 NHK側へ文書 (朝日, 9/26)
NHKに関する今回の報道について(経営委員長コメント) (NHK 経営委員会, 9/26)。内容がショボすぎる。
NHKの自律揺るがす 経営委「統治」口実に かんぽ報道、異例の注意 (毎日, 9/26)。経過一覧あり。
NHK報道巡り異例「注意」 経営委、郵政抗議受け かんぽ不正、続編延期 (毎日, 9/26)
郵政、NHK報道を「悪意」と総括 不適切営業中も抗議 (朝日, 9/27)
かんぽ生命の不適切契約 4000件以上か (NHK, 9/27)
NHKは日本郵政の「圧力」になぜ屈したか、ウラに隠された事情 (竹中 明洋 / 現代ビジネス, 9/29)
NHK会長注意 経営委の法定議事録になし 委員「非公表実施」認める (毎日, 9/30)。「放送法は委員長に議事録の作成と公表を義務づけているが、厳重注意は議事録を公開しなくて済む非公表の場で行われていた」。姑息としか言いようがない。
タイトル:「かんぽ生命保険契約問題 特別調査委員会」からの報告について (日本郵政, 9/30)
日本郵政グループにおけるご契約調査の中間報告及び今後の取組について (日本郵政, 9/30)
NHK抗議、郵政社長陳謝 かんぽ番組「全くその通り」 (毎日, 10/1)
長門社長は (中略) 抗議や申し入れは誰が判断したのかとの質問に対しては「みんなで議論して、グループとして決めている」と言葉を濁した。放送行政を所管する総務省の元事務次官で日本郵政上級副社長の鈴木康雄氏が昨年11月、自身の経歴を強調しつつ、上田会長を厳重注意した経営委に謝意を伝える文書を送っていた点については「事務次官を辞めたのは9年前」とし、NHK側に圧力を与える意図はなかったとの見方を示した。
会見後、取材に応じた広報担当の木下範子執行役はNHK側への抗議について「当時の状況下で行ったこと」と述べ、謝罪したり、抗議や申し入れを撤回したりする考えがないと明言した。
あいかわらずの糞っぷりではないか。
N国・立花孝志党首「あほみたいに子どもを産む民族は虐殺」「差別やいじめは神様が作った摂理」などと言及 (ハフポスト, 9/28)
「有権者全体の責任も」「ネタで差別あおるな」…N国・立花氏「虐殺」発言で波紋 (毎日, 9/29)
N国 立花党首の「虐殺」発言 共産 志位委員長が批判 (NHK, 9/30)
立花孝志をまさかの方法で追い詰める最強のN国党アンチが登場した件 (togetter, 10/1)
》 “賽銭感覚”で客が池に投げ入れ…動物園で死亡したワニの胃から『硬貨330枚以上』 見つかる (東海テレビ / Yahoo, 9/30)
》 「やってはイケナイ」をやってみよう 第3弾_in 大阪 (connpass)。2019.10.29、大阪府大阪市、無料。面さん情報ありがとうございます。
》 「自動車安全運転シンポジウム2019」開催のお知らせ (警察庁)。2019.11.14、東京都千代田区、無料。自動運転ねた。
》 リチャード・ストールマン「FSFは辞めてもGNUは辞めない」 (Linux Daily Topics, 9/27)
》 [gnutls-help] gnutls 3.6.10 (GnuTLS, 9/29)。bug fix リリース。iida さん情報ありがとうございます。
》 LibreSSL 3.0.1 リリースノート (LibreSSL, 9/30)。開発版です。iida さん情報ありがとうございます。
》 「気候変動を踏まえた海岸保全のあり方検討委員会」(第1回)の開催について (農林水産省, 9/30)。10/2 13:00 から。
金浦→坡州→江華、防疫に穴をあけたアフリカ豚コレラ (朝鮮日報, 9/25)
韓国、アフリカ豚コレラ殺処分6万頭 北朝鮮境界線近くで拡大 (西日本新聞, 9/28)
アフリカ豚コレラ(ASF)侵入阻止 鳥取・米子空港検疫出張所新設 (日本農業新聞, 9/29)
非武装地帯「平和の道」開放中止 アフリカ豚コレラ対策=韓国 (朝鮮日報, 9/30)
「農林水産省豚コレラ防疫対策本部」の開催結果について (農林水産省, 9/27)
本日、防疫指針の改定案が取りまとめられました。これを受け、本日13時45分から「農林水産省豚コレラ防疫対策本部」において、牛豚等疾病小委員会が取りまとめた改定案が報告され、今後の対応が確認されました。
豚コレラに関する特定家畜伝染病防疫指針の一部変更の概要について (農林水産省, 9/27)
豚コレラに関する特定家畜伝染病防疫指針(案) (農林水産省, 9/27)
パブリックコメント:意見募集中案件詳細 豚コレラに関する特定家畜伝染病防疫指針の一部変更案等についての意見・情報の募集について (e-gov, 9/27)。締切 10/7。
豚ワクチン 接種来月下旬にも 防疫指針改定案 9県想定し準備 (日本農業新聞, 9/28)
「農林水産省豚コレラ防疫対策本部」の開催について (農林水産省, 10/1)。10/1 15:30 から。
農林水産省は、予防的ワクチンの接種が可能となるよう牛豚等疾病小委員会が取りまとめた特定家畜伝染病防疫指針の改定案について、9月27日(金曜日)に家畜伝染病予防法に基づく都道府県知事への意見照会及び行政手続法に基づくパブリックコメントを開始したこと等を受け、本日(10月1日(火曜日))15時30分から「農林水産省豚コレラ防疫対策本部」を開催し、豚コレラ等の発生予防・まん延防止に向けた更なる対策を検討します。
「食料・農業・農村政策審議会 第37回 家畜衛生部会」の開催及び一般傍聴について (農林水産省, 9/30)。10/3 10:00 から。
豚コレラでイノシシ用ワクチン散布 滋賀県が近畿初 (産経, 10/1)
》 「7pay」運営元、未使用残高の払い戻し方法発表 9月末でのサービス終了受け (ITmedia, 9/27)、 7payサービス廃止のお詫びと残高払戻しに関するご案内 (セブン・ペイ, 9/27)
》 総務省、「ローカル5G」を制度化 免許申請受付へ (ITmedia, 9/30)
》 年間6200万ドル規模「バグ報告への報酬金」 IoT・ICS領域にも拡大? (高橋睦美 / ITmedia, 9/30)
ロシア・ソチで9月19〜20日にわたって開催された「Kaspersky Industrial Cybersecurity Conference」の中で、KasperskyのICS-CERTのリサーチャー、ウラジーミル・ダーシェンコ氏が「Industrial Bug Bounty: Fantasy or Reality?」というテーマでセッションを行いました。
過去の記事: 2019 | 2018 | 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998
![[セキュリティホール memo]](/~kjm/security/memo/memologo-s.png)