![[SCAN Security Wire NP Prize 2001]](/~kjm/security/memo/scan_prize.gif){kind=small}
「Scan Security Wire」 主催の SCAN Security Wire NP Prize 2001 を受賞しました。
「ネットランナー」の ベスト・オブ・常習者サイト 2003 で金賞を、ベスト・オブ・常習者サイト 2004 で銀賞を受賞しました。
Last modified: Wed Sep 18 18:49:37 2019
+0900 (JST)
短縮 URL: http://goo.gl/pwSG QR コード:
http://goo.gl/pwSG.qr
Security Watch さんが店じまいされてしまったので、 個人で追いかけてみるテストです。 備忘録として書いておくつもりなので、 Security Watch さんのような詳細なものではありません。 基本的なターゲットは UNIX、Windows、Mac OS (priority 順) とします。 また、このページの内容はどのページにも増して無保証であることを宣言しておきます。全ての情報が集まっているわけもありません。
ここに載せる情報については、可能な限り 1 次情報源へのリンクを作成しておきます。 各自で 1 次情報源の内容を確認してください。 このページの内容をくれぐれも鵜飲みにしないように。 間違いを発見された方、記載されていない情報をご存知の方、ぜひおしえてください。よろしくお願いいたします。
このページの情報を利用される前に、注意書きをお読みください。
[ 定番情報源 ] 過去の記事: 2019 | 2018 | 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998
|
|
「Scan Security Wire」 主催の SCAN Security Wire NP Prize 2001 を受賞しました。 |
|
「ネットランナー」の ベスト・オブ・常習者サイト 2003 で金賞を、ベスト・オブ・常習者サイト 2004 で銀賞を受賞しました。 |
復刊リクエスト受付中:
ジェイムズ.F.ダニガン「 新・戦争のテクノロジー」(現在56票)
中山信弘「ソフトウェアの法的保護」 (現在116票) (オンデマンド購入可)
陸井三郎訳・編「ベトナム帰還兵の証言」 (現在107票)
林克明「カフカスの小さな国 チェチェン独立運動始末」 (現在172票)
田中徳祐「我ら降伏せず−サイパン玉砕戦の狂気と真実」 (復刊決定)
RSS に対応してみました。
小ネタは含まれていません。「政治ねたウゼェ」という人は RSS ベースで読むと幸せになれるでしょう (ウザくない人は こっちの RSS がよいかもしれません)。
RSS 1.0 ですので、あくまで RDF Site Summary です。
現在は Really Simple Syndication には対応していません。
今すぐ Really Simple Syndication がほしい人は、のいんさんによる
Web サイトの RSS を勝手に出力するプロジェクト
……のものがうまくいっていないようなので、
セキュmemoのRSS生成
をご利用ください。Tamo さん情報ありがとうございます。
政府初動対応に批判=内閣改造で「空白」-台風15号 (時事 / Yahoo, 9/18)。当然の批判。
千葉の停電は「的外れな議論」が多すぎる 県や政府に「危機管理」の意識が欠如していた (安田 陽 / 東洋経済, 9/18)
むしろ、国や地方自治体にクライシスマネジメントが欠如していたことこそ問題にすべきだ。
その一例が、行政による対策本部設置の遅さだ。千葉県が災害対策本部を設置したのは、大規模停電発生から丸1日以上が過ぎた9月10日午前9時のことだった。経済産業省の停電被害対策本部の設置は13日。政府全体の災害対策本部に至っては17日現在も設置されていない。
「長期化する停電」「強風で飛んだ屋根」、台風15号が与えた南房総の苦難 (日経 xTECH, 9/18)
配電線に接触する倒木に関しては頭の痛い課題がある。千葉県森林組合連合会で被災状況を調査した職員は、「倒れた樹木が電線に引っかかっている現場も確認したが、誤って電線を切断するなどのリスクがあるため、電力会社が到着するまで倒木を取り除けない」と説明する。台風による森林の被害は一般的に風が吹いた方角に木々がなぎ倒されることが多いが、「根ごと倒れた樹木も多く、あらゆる方向に木が吹き飛ばされていた」と言う。
停電 信号機のために警察が設置した非常用発電機 盗難相次ぐ (NHK, 9/18)。非常用発電機については、盗んでいる方も、生きるのに必死である可能性があるからなあ。
停電被害の深刻化 なぜ教訓が生かされないのか (しんぶん赤旗, 9/14)
昨年の台風21号で220万戸が停電した関西電力や、台風24号で100万戸が停電した中部電力は、対応を検証した報告書で、山間部での作業の困難さが停電復旧の遅れを招き、その改善を急ぐことを課題として強調しています。経済産業省内の電力供給体制についての会議も昨年まとめた文書で「復旧の妨げとなる倒木等の撤去の円滑化に資する仕組み等の構築」を検討することを提起していました。さらに一連の文書では、停電長期化などについての情報発信の不足や遅れが住民や自治体に不安を与えたことも問題にしています。
これらの指摘を、東電をはじめ電力会社、政府はどう受け止め、具体化に向けた措置をとったのか。教訓は生かされなかったのか。
えっ何それと思ってぐぐってみた。
総合資源エネルギー調査会 電力・ガス事業分科会 電力・ガス基本政策小委員会/産業構造審議会 保安・消費生活用製品安全分科会 電力安全小委員会 合同電力レジリエンスワーキンググループ (経産省)。WG としては 2018.11.27 の中間とりまとめで終了し、 つづきは電力安全小委員会でやっている模様。
資料2 電力レジリエンスWGを踏まえた今後の具体的な対応の方向性 (第18回 産業構造審議会 保安・消費生活用製品安全分科会 電力安全小委員会, 1/15)
資料1-1 電力レジリエンスWGを踏まえた対策のフォローアップについて (第19回 産業構造審議会 保安・消費生活用製品安全分科会 電力安全小委員会, 3/15)
資料2 電力レジリエンスWGを受けた対策(早期復旧、情報発信等)における政府主体の取組みの進捗状況について (第20回 産業構造審議会 保安・消費生活用製品安全分科会 電力安全小委員会, 7/1)
3.倒木等の除去に係る電力と自治体との協定の記載例の整理について
- 昨年発生した台風21号等の停電復旧対応時において、復旧作業現場への進入路をふさぐ多数の倒木や倒壊家屋等の処理が遅れ、一部エリアで停電が長期化。停電復旧の妨げとなる倒木等の障害物除去に課題が多いことが処理の遅れの一因。
- そこで、 災害対策基本法の規定を活用するために必要となる事項を整理し、電力会社に対して「災害時における地方自治体との連携について(事務連絡)」を発出。 自治体と電力会社が締結する協定の記載例等を提示し、事前体制の構築を求めた。また、自治体との連絡体制の構築やリエゾンの派遣等についても併せて要請した。
この件、今回の事象ではどうだったのか検証が必要だなあ。 自治体自体が半身不随になった場合には効かなそうな話だし。
台風21号対応検証委員会の報告について (関電, 2018.12.13)。教訓については電力レジリエンス WG に反映されていると見ていいのかな。
千葉大停電の遠因か。倒木処理の難しさと山武杉の悲劇を振り返る (田中淳夫 / Yahoo, 9/17)
停電防止で倒木防ぐ伐採 原村 (NHK, 9/18)。長野の原村のニュース。
停電復旧向け自衛官を大幅増員へ 千葉で最大1万人 (朝日, 9/16)
14日時点では計約260人だったが、16日は約3千人態勢に増やした。(中略) 今後、東京電力と相談して派遣人数を調整し、最大1万人を投入できるよう構える。
9/14 時点でも 260 人しかいなかったのか。
災害派遣の仕組み (防衛省)。基本的には都道府県知事から要請する。
令和元年台風15号に伴う千葉県及び神奈川県の停電に係る災害派遣 (防衛省)、 お知らせ|2019(平成31・令和元)年 (防衛省)
令和元年台風15号に伴う千葉県の停電に係る災害派遣(9/10 13時00分現在) (防衛省, 9/10)。千葉県知事、04:00 に空自、04:30 に陸自に要請。 給水支援と患者空輸。
令和元年台風15号に伴う千葉県及び神奈川県の停電に係る災害派遣(9/10 20時00分現在) (防衛省, 9/10)。15:25 に神奈川県知事から要請が来て倒木・土砂除去支援 (4名)。千葉の給水支援は計 150 人。
令和元年台風15号に伴う千葉県及び神奈川県の停電に係る災害派遣(9/11 13時00分現在) (防衛省, 9/11)。千葉県知事、06:00 に陸自に倒木除去を要請。 千葉県成田市に 45 人、神奈川県鎌倉市に 45 人派遣。 神奈川については立川発 UH-1 (映像伝送機) で情報収集を実施。 千葉ではそういう活動はしていない。
令和元年台風15号に伴う千葉県及び神奈川県の停電に係る災害派遣(9/11 19時00分現在) (防衛省, 9/11)。千葉県知事、15:00 に海自に入浴支援を要請。 館山基地の入浴施設を解放。
(後で書く)
》 オピオイドのパーデュー・ファーマ、経営破綻 (9/15)
オピオイドの米パーデューが破産法申請、違法販売和解で1兆円超準備 (ブルームバーグ, 9/16)
米パーデューが破綻申請 オピオイド訴訟で巨額支払い (日経, 9/16)
米パーデューが破産申請、オピオイド問題で多数の訴訟に直面 (ロイター, 9/16)
鎮痛剤オピオイド問題で和解金1兆円超 米医薬品大手 経営破綻 (NHK, 9/16)
関連
鎮痛剤オピオイド問題、経済や産業へも大きな影響(米国) (JETRO, 9/17)
》 シリーズ◎今冬のインフルエンザで気掛かりなこと(1) ゾフルーザ低感受性、小児例で症状が長引く傾向 (三和 護 / 日経メディカル, 9/17)。タミフル (or タミフルのジェネリック) の方が安定して効くようです。
ゾフルーザの治療上の位置付けについては現在、日本小児科学会や日本感染症学会などが検討を進めている。「その指針を待ちたい」と話す佐藤氏は、今回の結果を踏まえると「外来で対応が可能な小児に対して、ゾフルーザを第一選択薬としなければならない理由はないのではないか」との見方を示す。
タミフルの方が安いしなあ。ジェネリックならもっと安い。 (値段の詳細はこちらの記事をどうぞ)
ただし、重症例については検討の余地があるとも話す。米国などでは、重症例に対し、ゾフルーザをオセルタミビルなどのノイラミニダーゼ阻害薬と併用する治療法の有効性について検討が始まっている。これは、ゾフルーザによるウイルス量の減少を優先させ、ノイラミニダーゼ阻害薬でゾフルーザ低感受性ウイルスの出現に備えるという二段構えの戦略だ。佐藤氏は「今後、日本でも検討されなければならない」と話している。
効き方が違うので、重症時に併用できそうのはよい点だなあ。
復旧にはまだまだ時間がかかる模様
千葉復旧また遅れ 停電1週間、依然10万戸 (東京, 9/16)
千葉の停電復旧、27日までずれ込む地域も 東電発表 (朝日, 9/15)
千葉県各市区町村の地区ごとの復旧に要する期間および現地のご支援について(9/14 23時00分時点) (東電, 9/14)
千葉の倒木撤去、東電と建設業者の連携強化へ 国交相 (朝日, 9/14 19:13)
復旧現場では倒木が電線に絡まっている場所が多くあり、東電だけでは倒木を撤去できる装備がなかったり、逆に建設業者だけでは電線に触れることができず、片付けが難しかったりするケースが相次いでいるという。
》 政治家にヤジも言えない? 元道警幹部が指摘する危険性 (朝日, 9/17)
》 高校生の政治談義にいちゃもんつけること自体がダメですよ 柴山昌彦文科相 (猪野 亨 / BLOGOS, 9/11)。本当になあ。
》 「Windows 10 May 2019 Update」と一部NEC製PCの間に非互換性問題 (窓の杜, 9/17)、 Windows 10, version 1903 and Windows Server, version 1903 (Microsoft)。修正作業中だそうです。
Microsoft and NEC have found incompatibility issues with Intel Centrino 6205/6235 and Broadcom 802.11ac Wi-Fi cards when running Windows 10, version 1903 on specific models of NEC devices. If these devices are updated to Windows 10, version 1903, they will no longer be able to use any Wi-Fi connections.
》 Sophos、信頼できないアプリを隔離環境で実行できる「Sandboxie」の無償化を発表 オープンソースプロジェクトへ移行 (窓の杜, 9/13)
》 カスペルスキー、新パートナープログラム「Kaspersky United」を発表 (クラウド Watch, 9/12)。2020 年から。
》 イーサリアムの次期アルゴリズムProgPoWの安全性監査が完了 (仮想通貨 Watch, 9/17)
》 A document about the UKUSA partnership with unknown classification compartments (electrospaces.net, 9/12)
》 Encrypted DNS Could Help Close the Biggest Privacy Gap on the Internet. Why Are Some Groups Fighting Against It? (EFF, 9/12)
》 ClamAV 0.102.0 Release Candidate is now available (ClamAV, 9/16)
Chrome/Opera向け「LastPass」拡張機能にクリックジャッキングの脆弱性 ~最新版で修正済み (窓の杜, 2019.09.17)
LastPass Bug Reported & Resolved (LastPass, 2019.09.13)。「We have now resolved this bug; no user action is required and your LastPass browser extension will update automatically.」
[Lightning-dev] CVEs assigned for lightning projects: please upgrade! (Lightning-dev ML, 2019.08.30)
[Lightning-dev] CVEs assigned for lightning projects: please upgrade! (Lightning-dev ML, 2019.09.10)
ビットコインのライトニングネットワーク、脆弱性発覚で至急アップデートが必要。被害報告も (クラウド Watch, 2019.09.12)
》 電子書籍で“回し読み”サービス!? ハイブリッド型総合書店「honto」で実証実験スタート (ねとらぼ, 9/12)
》 その男、竹本直一 (IT担当相)。 端的に言ってひどい。
IT担当相・竹本直一氏のオフィシャルサイト、アクセスできず → 理由は「おそらく数カ月前からドメインロック」 (ねとらぼ, 9/12)
IT担当相・竹本直一氏のYouTube、「高く評価した動画」にアニメ海賊版など 公式サイトはドメインロックで表示できず (ITmedia, 9/13)
IT相ははんこ議連会長 「印鑑とデジタル、対立せず」 (朝日, 9/13)。デジタルファースト法が成立してもなお、それですか。
》 仏経財相、「欧州でリブラの運営認めない」 (仮想通貨 Watch, 9/13)
》 Facebookの開発者コミュニティ日本代表がリブラの普及可能性を分析 (仮想通貨 Watch, 9/12)。大森貴之氏。
》 日本の仮想通貨交換所のセキュリティを考える人たち=FIN/SUM 2019 (仮想通貨 Watch, 9/12)
》 京アニ放火事件受け、京都市消防局が想定外の火災の対応指針 (ITmedia, 9/12)。今年度中につくる、という話。
》 「消費税を廃止した国、マレーシア」は本当か (熊谷 聡 / IDE-JETRO, 9/12)。売上サービス税 (SST) というのがもともとあり、 2015 年に消費税に移行したが 2018 年 6 月に廃止。 一方で、2018 年 9 月から SST を再導入。
1件の脆弱性を修正した「Wireshark」v3.0.4/v2.6.11が公開 (窓の杜, 2019.09.12)。2.4 系列は終了だそうです。
Windows版「iTunes 12.10」が公開 ~近日提供の「iOS 13」「iPadOS」へ対応 セキュリティに関する修正も (窓の杜, 2019.09.12)
「PHP」v7.3.9でセキュリティに関する問題を修正、「Tera Term」のガイドブックが発売 ほか (窓の杜, 2019.08.30)
「Firefox 68」が正式公開 ~アドオン管理を改善、新しい拡張機能との出会いの場に (2019.07.10)
Thunderbird 60.9.0 および 68.1.0 が出ました。 自動更新では 68.1.0 ではなく 60.9.0 になります。
Thunderbird 60.9.0 がリリースされた (MozillaZine, 2019.09.07)。「本稿執筆時点では公開されていないが、Firefox ESR 60.9.0 相当のセキュリティ修正が行われている」
「Thunderbird」v68.1.0が公開 ~“Office365”のExchangeアカウントの登録処理を改善 「Thunderbird 60」系統からのアップグレードはv68.2からの予定 (窓の杜, 2019.09.12)
あと、Thunderbird 68 でのセキュリティ更新情報が公開されてました。
》 京急本線快特列車 踏切衝突・脱線事故関連。 カタログスペック的には安全に止まれたはずなのに止まれなかった、 という事故のようなので、原因究明と改善策の実施が急がれる……ものの、今日明日どうにかなるものでもなく。
トラック、道間違いか 通常のルート外れる 京急衝突脱線 (東京, 9/7)
京急社員二人が現場に居合わせ、トラックの切り返し作業を手伝っていた (中略) 社員二人は踏切近くの「神奈川新町乗務区」に勤務する運転士(44)と車掌(24)。本橋運転手から左折のための後方確認を依頼されて手伝った後、左折をあきらめたと伝えられた。トラックは右折しようと四分近くにわたって何度も切り返した末、遮断機をくぐり抜けるように踏切に進入。社員二人のうち、運転士が踏切の非常ボタンを押した。
この場面で、運転士が押しているんだよなあ。ぶつかるだろうと覚悟しながら押したわけではないだろうし。
京急事故、列車なぜ衝突 異常時に踏切前で止まれる設計 (朝日, 9/7)
京急衝突脱線 40~35秒前、異常検知か 踏切の装置、正常に作動 (東京, 9/8)
京急踏切事故、鉄道運転士と技術者が語る「メディア報道への不信感」 (川辺 謙一 / 現代ビジネス, 9/10)
京急特有の車両構造、転覆防ぐ? 乗客には死者出ず (朝日, 9/11)
京急事故で標識設置 現場付近の道路を大型車規制へ (TV 朝日, 9/11)。 当該車両が現場にやってくることになった、 そもそもの原因の 1 つだからなあ。 (標識の問題はどうなった?)
》 「クレイジージャーニー」からのご報告とお詫び (TBS, 9/11)
8月14日放送の「クレイジージャーニー」2時間スペシャルと、その日の深夜のレギュラー枠で、爬虫類ハンターがメキシコに生息する珍しい生物を探し捕獲する旅に同行取材する企画を放送しました。放送で紹介した生物は6種類ですが、このうち4種類は、番組スタッフが現地の取材協力者に依頼し、ロケの前に準備していた生物を使って撮影していたことが放送後の調査でわかりました。
イッテQ に続いてヤラセ発覚ですか。何がきっかけで「放送後の調査」が行われたのだろう。タレコミがあったのか、文春とかから問いあわせがあったのか。
この爬虫類ハンター企画について過去にも同様の手法がなかったかどうか調査をすすめております。過去10回の放送で捕獲した生物のうち、26種類は捜索中に実際に発見し捕獲したものですが、11種類は事前に準備していたものであることが現時点で判明しています。
約 1/3 がヤラセですか。常態化してますね。
過去10回の放送分は全て、今回のメキシコロケを担当した番組スタッフとは別のスタッフが担当していました。このスタッフによりますと、加藤さんには事前に準備していたことをお伝えしていなかったということです。
ヤラセが常態化していたのにハンター加藤は気づいていませんでした、という方がむしろ問題なのでは。
関連:
松本人志、強面イメージを反省 『クレイジージャーニー』異例のヒットに「良かった」 (オリコン, 2017.08.01)
約2年半も続いている上に、今月23日には5枚目となるDVDが発売されるなど、異例のヒットをみせている同番組だが「2年半も続いてきて良かったですよ。この番組は教育番組で(同局の冠番組である)『水曜日のダウンタウン』とは全然違いますから」と笑わせていた。
》 住職がツイッターでヘイトや差別発言、アカウント停止 宗派がHPで謝罪 (京都新聞 / Yahoo, 9/11)。臨済宗妙心寺派。
オフィシャル: 臨済宗妙心寺派僧侶のネット上における差別発言のお詫び (臨済宗妙心寺派, 9/6)
》 産経新聞連載、本紙記事と酷似 著作権侵害で謝罪 (神戸新聞, 9/11)。「姫路支局の40代の男性記者」。
》 FirefoxがDNSとの通信を暗号化する「DNS over HTTPS(DoH)」を正式に実装すると発表 (gigazine, 9/10)
関連: Using Response Policy Zones to disable Mozilla DoH-by-default (ISC, 9/9)。BIND の Response Policy Zones を使って Firefox の DoH をデフォルト無効化する方法。
》 視覚障害を持つエンジニアが開発したスマホ連動のスマート白杖「WeWalk」が視覚障害者の世界を変える? (buzzap!, 9/10)。「白杖にスマートスピーカーとスマホの操作モジュールが内蔵されていると考えると分かりやすいでしょうか」。
東電の見通しが甘過ぎる件。
台風15号による東京電力パワーグリッド株式会社サービスエリア内の停電の復旧計画について(9/10 17時00分時点) (東電, 9/10)
台風15号の影響による東京電力パワーグリッド株式会社のサービスエリア内の停電状況について、本日17時00分時点で約58万軒が停電しておりましたが、全力で復旧作業を進め、今夜中に約12万軒まで縮小する見込みとなりました。引き続き、早期復旧に向けて対応し、残りの約12万軒についても明日中の復旧を目指します。
東電ホームページ (archive.is, 9/11 04:28) に載っていた内容は上記からそのまま取ったものみたい。 時刻情報がばっさりカットされているため、 「今夜中」や「明日中」が何を意味するのかさっぱりわからないんだよな。
ツイート
■お知らせ■
— 東京電力ホールディングス 株式会社 (@OfficialTEPCO) September 10, 2019
当社サービスエリア内の9月11日午前6時時点での停電軒数は約472,000軒です。停電によりご不便をおかけしておりますことをお詫び申し上げます。鋭意復旧に努めてまいります。
<停電情報>https://t.co/0gjMCLTosm
東電、9/11 中の復旧は無理と発表 (9/11 07:55〜)
台風15号による東京電力パワーグリッド株式会社サービスエリア内の停電の復旧見通しについて (東電, 9/11)
2019/9/11(水) 台風15号に伴う停電の復旧状況 記者会見 (東電, 9/11)。動画。
千葉の停電、46万戸で続く。東電「11日中の復旧見通し立たず」 木更津エリアの修理は3割にとどまる (BuzzFeed, 9/11 08:34)
東電、あいかわらず現場をわかっていないようで。
陸の孤島に閉じ込められて (極楽せきゅあブログ, 9/10)。知己ネットワークで成田空港から脱出した事例。
日本政府が脳天気すぎる件
ツイート
今からたった10日前に投稿された安倍晋三内閣総理大臣のツイートだが、今この人物はどこで何をしているのか。
— 山崎 雅弘 (@mas__yamazaki) September 11, 2019
防災の日というイベントが終わったら、もう船橋市民や千葉県民には興味ないのか。 pic.twitter.com/51KB71DpuZ
こんなことをしているようです。
安倍晋三首相(自民党総裁)が11日午前、二階俊博幹事長、岸田文雄政調会長を留任させ、鈴木俊一五輪担当相を総務会長に、下村博文憲法改正推進本部長を選対委員長に起用する人事を行い、臨時総務会で正式に了承されました。
— 毎日新聞写真部 (@mainichiphoto) September 11, 2019
写真特集→https://t.co/iRwk331mdq pic.twitter.com/dxORYf0KMm
動くは野党ばかり?
千葉県庁で、防災危機管理部長から被害と対応を聞き取り、政府への要請をうかがいました。とくに停電復旧が喫緊の課題になっているなか、東電が正確な復旧の見通しを示すよう求める発言がありました。これから国会で経産省と東電への要請を行います。 pic.twitter.com/BDSlyD5mr9
— 志位和夫 (@shiikazuo) September 11, 2019
結果、こういう結論になるよね……
安倍晋三の欲しがっている
— 北風くるみ(30Aから20Aへ) (@kitakazekurumi) September 10, 2019
緊急事態条項の理由が
「災害時に首相が災害対策の対応を柔軟に直ぐに出来るようにするため」
は、嘘だな。
今、安倍晋三がバリバリ陣頭指揮を取っていなければおかしい。
そしてそれが思ってるほど進んでいなくてイライラしてる位で無ければおかしい。
WordPress 5.2.3 出てました。複数のセキュリティ修正を含みます。 日本語版 5.2.3 も出ています。
Security Bulletin for Adobe Flash Player | APSB19-46 (Adobe, 2019.09.10)。Flash Player 32.0.0.255 を公開。 2 件のセキュリティ欠陥 (どちらも Critical) を修正。Priority: 2 (Linux 版のみ 3)
関連: Adobe Flash Player の脆弱性 (APSB19-46) に関する注意喚起 (JPCERT/CC, 2019.09.11)
Security Updates Available for Adobe Application Manager | APSB19-45 (Adobe, 2019.09.10)。Windows 版インストーラーの欠陥 1 件 (Important) を修正。Priority: 3
OpenSSL 1.1.1d / 1.1.0l / 1.0.2t 公開。3 件のセキュリティ欠陥 (いずれも Low) が修正されている。 https://www.openssl.org/source/ だとなぜか 1 つ前のバージョンが示されてしまうため、 https://www.openssl.org/source/? からダウンロードしてくださいだそうです。 iida さん情報ありがとうございます。
Chrome 77.0.3865.75 が stable に。52 件のセキュリティ修正を含む。
出ました。IE / Edge、Windows、Office、 Flash Player、 ChakraCore、 Lync、 Visual Studio、 Exchange、 .NET Framework、 .NET Core、 Yammer、 ASP.NET、 Team Foundation Server、 Project Rome。
関連: 2019年 9月マイクロソフトセキュリティ更新プログラムに関する注意喚起 (JPCERT/CC, 2019.09.11)
》 伊藤穣一、ジェフリー・エプスタイン、MIT メディアラボ方面
How an Élite University Research Center Concealed Its Relationship with Jeffrey Epstein (Ronan Farrow / New Yorker, 9/6)。この記事が決定的だった模様。
伊藤穣一氏、MITメディアラボ所長を辞任 エプスタイン氏からの寄付を巡り (ITmedia, 9/8)
伊藤穣一氏がMITメディアラボ辞任。エプスタイン事件経緯とMITメディアラボの対応のまとめ (gizmodo, 9/9)。この記事がよくまとまっているかな。
伊藤穣一所長ら、資金提供者の「性犯罪歴」知り隠ぺい工作か (読売, 9/10)
MITメディアラボの伊藤穣一所長辞任、そしてビル・ゲイツにも飛び火? (ニューズウィーク日本版, 9/9)
》 オープンソースWebブラウザのBrave、GoogleによるGDPR規制回避策を明るみに (@IT, 9/9)
Brave Softwareの新しい証拠はGoogleが、多くの当事者がGoogleの識別子とマッチングできるようにしていたことを示している。さらに、この証拠はGoogleが、多くの当事者がデータ主体(※)の識別子を相互にマッチングできるようにしていたことも示している。
※「データ主体」はGDPRで使われる用語で、「特定された、または特定可能な自然人」と定義されている。個人データ保護に関する諸権利の行使主体(参考)。
成田空港、陸の孤島と化す
陸の孤島と化した成田空港。脱出の術なし、空からは大量の乗客 (BuzzFeed, 9/9 15:53)
「ローカル空港じゃないはず」 成田アクセス遮断に怒り (朝日, 9/9 19:34)
インドから帰国した男性は、レンタカーのカウンターに並んでいた。数年前に雪で交通機関が混乱した際にも、成田空港で長時間足止めされたという。「どうなっているのか情報がなく、ただ待たされているのは、あの時と同じ。何年か経ってもアクセスの弱さは何も改善されていない」とうんざりした表情だった。
タクシーで4時間半、最後は徒歩で…「陸の孤島」成田空港にたどり着くまでに一番役立ったのは… 「ナビタイム有料版とGoogle Mapに救われました」 (BuzzFeed, 9/10 08:27)
「成田ついたのですが死にそう。詰んだ」電車もバスも食料もない…あの日、成田空港に帰国した人が見た地獄 「教訓は……モバイルバッテリーは持っとけ」 (BuzzFeed, 9/10 08:43)
「地獄だ」「どうすれば」 その時、成田空港では何が起きていたのか (田中森士 / Yahoo, 9/10)。 陸の孤島から空路 (!) で脱出。
きわどいタイミングではあったが、飛行機にはなんとか間に合った。搭乗してシートベルトを締める。飛び立って数分後、「あっ」と思った。成田市、いや千葉県が広域にわたり真っ暗だ。遠くに見える東京のものであろう光があまりに明るく感じる。その対比が、首都圏の「災害に対するぜい弱性」を表しているようで、急に怖くなった。
成田空港、1万人超が一夜 待たされ欠航「早く言って」 (朝日, 9/10 10:53)
台風で陸の孤島となった成田空港。ゴスペル隊の歌声が、疲れた人々を癒やした。 (ハフポスト, 9/10)
停電がなおも続く、断水も
首都圏 午後5時現在の停電状況 (NHK, 9/10 17:32)
千葉県では54万3100件が停電しています。
千葉県内の市町村別では、市原市でおよそ6万200戸が停電しているほか、君津市でおよそ3万7700戸、八街市でおよそ3万1700戸、富津市でおよそ2万6200戸、館山市でおよそ2万4700戸、佐倉市でおよそ2万600戸などとなっています。
また、神奈川県では1万8000戸、茨城県では1万1100戸が停電しています。
東京では、島しょ部で10日朝の時点でおよそ1万2000戸が停電しています。
停電情報: 千葉県 (東電)。「2019/09/10 18:09 現在 停電軒数 約542100軒」
【台風15号】「暑くて寝られず」「ろうそく頼り」 千葉で停電続く、なお54万軒 断水も9万戸、ライフライン深刻 (千葉日報, 9/10 16:10)
千葉県の台風被害が深刻、停電・断水続く。エアコン使えず熱中症の危険も (BuzzFeed, 9/10 14:59)
停電いまだ60万戸超す 暗闇の街、エアコンのない夜 (朝日, 9/10 14:32)
台風15号 市民の声「水がない。千葉の実情伝わっていない」 (NHK, 9/10 16:44)
台風15号 市民の声「お年寄りは支援物資も取りに行けず」 (NHK, 9/10 17:08)
千葉県 8万3000世帯で断水 (NHK, 9/10 18:10)
東電「11日中の復旧を目指す」 (NHK, 9/10 18:20)
働き方改革
社長が台風対応でテレワークを呼びかけ そのとき社内は (朝日, 9/9 18:37)
社説 台風15号で通勤混乱 「出社に及ばず」の共有を (毎日, 9/10)。 アステリア の事例。
「運転再開はしてても…駅めっちゃ混んでるよね?」今の混雑状況、実はアプリで一目でわかります (BuzzFeed, 9/9)
》 Sunsetting Python 2 (Python)。Python 2 は 2020.01.01 に終了。
》 数千のLinuxサーバ、ランサムウェア「Lilu」に感染 - 経路は不明 (マイナビニュース, 9/10)
どのような経路でLinuxサーバに侵入し、root権限を取得しているのかは明らかにされていない。Fossbytesはロシアのフォーラムに掲載されていた情報として、機能していないEximソフトウェアを搭載したLinuxサーバを狙っているようだという予測を示している。
》 京アニ放火事件の支援金、税制上の優遇措置の対象に。手続き方法を同社サイトで案内へ (やじうま Watch, 9/9)
Exim 4.92.1 以前の TLS ハンドシェイク処理に欠陥があり、remote から無認証で任意のコードを実行できる。CVE-2019-15846
Exim 4.92.2 で修正されている。関連:
https://www.exim.org/static/doc/security/CVE-2019-15846.txt (Exim, 2019.09.02)。TLS ライブラリには依存しないそうです。 PoC も存在するそうで。
eximの脆弱性情報(Critical: CVE-2019-15846) (SIOS, 2019.09.07)
LibreOffice 6.3.1 / 6.2.7 公開。セキュリティ修正を含むそうです。
安全でないマクロをブロックする対策(CVE-2019-9852)が回避されてしまう欠陥(CVE-2019-9854)と、Windowsの短いファイル名(8.3形式)の検証が十分ではなく、任意の「LibreLogo」スクリプトが実行できてしまう問題が解決されている。
ウイルスバスター コーポレートエディション 11.0 SP1 / XG / XG SP1 およびビジネスセキュリティ 9.0 / 9.5 / 10.0 においてディレクトリトラバーサルが可能となる欠陥があり 2019.04.04 に公開済なのだが、実際に攻撃を確認したので注意喚起だそうで。
アラート/アドバイザリ : ウイルスバスター コーポレートエディションとウイルスバスター ビジネスセキュリティのディレクトリトラバーサルの脆弱性(CVE-2019-9489)について (トレンドマイクロ, 2019.04.04)。外部からウイルスバスター コーポレートエディション サーバーまたウイルスバスターはビジネスセキュリティ サーバー上の任意のファイルを改変できる。patch あり。
JVNDB-2019-003323 - 複数の Trend Micro 製品におけるパストラバーサルの脆弱性 (JVN, 2019.05.15)
ウイルスバスター コーポレートエディションの脆弱性 (CVE-2019-9489) に関する注意喚起 (JPCERT/CC, 2019.05.12)
》 高森町立保育園において発生した死亡事故の検証等に関する報告書 (高森町, 8/30)。2018.02.19 発生の死亡事故を検証。全体としてたいへん興味深いが、個人的に特に興味深かったのはここ。
1.死因から推測する事故原因について
当該園児の死体検案書によれば、直接の死因は「不詳」とされている。わが国においては司法解剖の結果は裁判以外に用いることができず、事故検証委員会はもちろんのこと、遺族にさえも明かされないことから、正確な死因は「不明」のままである。「死因」がわからない中で検証を進めなければならないことは、今後、同様の保育重大事故の検証を行う際に引き続き最大の課題となるであろう。平成 30 年に「成育基本法」が、令和元年には「死因究明推進法」が成立したことにより、わが国でも、他先進国ですでに実施されているCDR(Child Death Review=将来の子どもの死亡を防ぐために、子どもの死亡原因について調査を行い、データベース化するシステム)を導入する足がかりができたが、わが国でCDRを導入する際、最も足かせとなっているのが司法解剖による死因が開示されないことである。 CDRにおいては死因を明らかにすることが必要であり、保育事故に関する検証もCDRと同様の役割があることから、今後は警察や司法との協力体制を構築し、子どもの死因が開示される必要がある。
今回、ご遺族の協力により、当該園児が最初に搬送された病院で撮られたCTスキャンの画像等、死因に関する情報を入手することができたことで、死亡事故に至った最大の原因を考えることができた。これにより、当初、検証委員会で検討していた原因とは違う結論が導き出された。このような入手法があることが今回確認できた意義は大きいと考える。死因が不明ということは、他の検証委員会でもよく見られることであり、そのことが予防策の開発を阻害する一因となっている。今回の方法は、ご遺族の協力が必須となるが、他の検証委員会においても適用可能な方法である。確実な死因の把握とそれを踏まえた上での検証委員会でなければ、意味がないと考えられる。
こんなことになっているとは。即座には無理だとしても、事件性なしと判断できた時点で開示すべきだろう。
送電鉄塔倒壊 (千葉県君津市長石)
東電の送電鉄塔2基が倒壊 10万戸の停電に影響 千葉 君津 (NHK, 9/9)
送電網を管理する「東京電力パワーグリッド」によりますと、今回の台風15号の影響で千葉県君津市長石にある高さ45メートルと57メートルの比較的大型の鉄塔2基が倒壊し、送電が停止しました。(中略) 東京電力によりますと9日午後3時半現在で千葉県ではおよそ61万戸が停電していますが、このうち君津市の鉄塔の倒壊は10万戸の停電に影響しているということです。
鉄塔倒壊が千葉の停電の全ての原因ではありません。
記録的暴風、関東を襲う 送電線の鉄塔倒壊 (日経, 9/9)
千葉県君津市では高さ40メートル以上ある6万ボルトの送電線の鉄塔2基が倒壊した。
66kV 系統だそうです。
電力系統図 (東京電力パワーグリッド)
君津市で鉄塔2基が倒れる、台風の影響か (NNN / Yahoo, 9/9)。ぐるぐる模様のところの鉄塔と、道を越えた東隣の鉄塔が倒れているのがわかる。
かずさ4号公園 (google マップ)。特徴のある建物とぐるぐる模様を確認できるので、どうやらここのようです。
ツイート:
君津市で送電鉄塔が2基倒壊してる…
— 鉄塔高ホームラン (@Tettouko_chan) September 9, 2019
66kV6回線の木内線。かずさ4号公園付近。
公園の展望塔に送電線の架空地線が引っかかってる…#台風15号 #鉄塔 #送電線
停電 千葉 神奈川 茨城 静岡はきょう中の復旧困難 (NHK, 9/9)
台風15号による東京電力パワーグリッド株式会社サービスエリア内の設備被害および停電状況について 【午後2時30分現在】 (東電, 9/9)
台風の影響による停電のうち、栃木県・埼玉県は復旧いたしました。東京都は本日中に復旧できる見通しです。
千葉県南部、神奈川県南部、茨城県沿岸部、静岡県東伊豆エリアについては、鋭意復旧に向けて作業を継続中ですが、本日中の全面復旧は困難な見通しです。復旧見通しが判明し次第、お知らせいたします。
台風15号 観測史上1位の最大瞬間風速も 引き続き警戒 (NHK, 9/9)
ゴルフ練習場の支柱倒壊、複数民家を直撃、1人重症 (千葉県市原市)
ゴルフ練習場の柱倒れ民家破壊、1人重傷 強風の千葉 (朝日, 9/9)
すさまじい音、外見て「あぜん」 ゴルフ練習場の柱倒壊 (朝日, 9/9)
ツイート:
ニュースになってるかもですが、台風でゴルフ場の鉄塔が倒れて家に直撃しました。(午前3:30ごろ)
— ルル (@RuRu1405) September 9, 2019
初めて瓦礫の下敷きになりました。
その後、レスキューは来たものの、大した怪我ではない人は、自宅で待機と言われ、その後5時間雨漏り+鉄塔が倒れてる中で過ごし、放置されました。(続く)
》 ◆ JPNIC News & Views vol.1711【臨時号】2019.9.2 ◆ 第105回IETF報告 [第3弾] 「DNSの処理を行うアプリケーション」の話題 (JPNIC, 9/2)
》 夏休みの学生らが体験、RSAの実践的なインシデント対応演習: データ不正利用、サイバー攻撃が世界的なリスクTop5の今、人材育成の在り方は (@IT, 9/6)
京急脱線事故、1人死亡33人けが 乗客約500人避難 (朝日, 9/5 20:47)
電車横倒し、折り重なる客 京急脱線、直前にトラックは (朝日, 9/5 21:09)
踏切の異常検知は作動 自動ブレーキ機能なく 京急説明 (朝日, 9/5 21:20)
他の鉄道会社では、東急や京王、小田急、東武、JR東日本の一部路線で、検知装置を自動列車制御装置(ATC)などの信号保安装置と連動させる仕組みがあり、装置が作動すると自動的にブレーキがかかる仕組みとなっている。だが、京急本線にはこうしたシステムは導入されておらず、運転士が手動でブレーキをかけることになっていた。
トラックはなぜ踏切へ?京急事故、直前の様子 「時速120kmでも停止できる距離」だったが… (中島 みなみ / 東洋経済, 9/6)
事故現場の踏切では、発光信号機は踏切の340m手前に設置されており、運転士はこの信号機をさらに260m手前から目視できるという。つまり、踏切から600m離れた地点で異常を確認できることになる。列車が時速120kmで走っていても、踏切に到達する前に止まることができる距離だ。
しかし、結果的に列車は踏切の手前では止まれなかった。すると、1秒間に33m進むスピードの中、運転士は何らかの理由でブレーキを決断できなかったということになるが、この点は今後の調査が待たれる。
9月5日(木)踏切事故につきまして (京急, 9/5)
令和元年9月5日に京浜急行電鉄株式会社 本線 神奈川新町駅~仲木戸駅間で発生した列車脱線事故 (運輸安全委員会, 9/6)。とりあえず項目があるだけ。
列車は急には止まれない! クルマと大きく異なる鉄道ブレーキ事情 (乗りものニュース, 2018.06.16)
600m条項 (ウィキペディア)
ツイート:
ワイは京急の事故の主犯はコイツらやと思っとるよ…
— あびる (@abix82) September 6, 2019
この右折レーンで右折すると、あの踏切に一直線。しかもアリジゴクのように少しずつ道幅が狭まっていく。 pic.twitter.com/p2lSuJ1t0f
》 海の向こうの“セキュリティ” CSIRTが提供するサービスをまとめた一覧がメジャーバージョンアップ (山賀 正人 / Internet Watch, 9/5)
》 ESA、人工衛星と巨大コンステレーションの衝突を回避するためのマヌーバーを世界で初めて実行 (スラド, 9/6)、 SpaceXが打ち上げたインターネット用衛星が気象観測用の人工衛星と衝突未遂 (gigazine, 9/3)、 SpaceX satellite was on “collision course” until ESA satellite was re-routed (ars technica, 9/4)
》 五輪が照らす下水問題 お台場の海、降雨で水質悪化 (日経, 9/5)
都は現実的な対策として、降雨時に下水を一時的にためる施設の整備を毎年度100億~150億円かけて進めている。目黒川付近では整備後のサンプル調査で未処理放流の回数が7割減少する効果があった。ただし整備が完了するのは五輪後の23年度になる。
too late...
東京大会の組織委は過去にトライアスロンなどの会場をお台場から横浜市に変更することも検討したが、国際トライアスロン連合が難色を示して実現しなかった。「観光スポットのレインボーブリッジを背景にレースをしたかったのでは」と大会関係者は推測する。
代替案がショボすぎる。 森山氏の東京湾横断トライアスロン案なら、現行案よりもずっと絵になるわけで。
》 複雑化する「Windows 10」の更新リリースに、出口はあるのか (ITmedia, 8/30)
》 消えたWindows 10の「更新プログラムをいつインストールするかを選択する」オプションの行方 (@IT, 9/4)
》 「iPhone SE後継」噂再び 2020年に廉価版iPhone発売と日経報道 (ITmedia, 9/5)
》 USBの次世代規格「USB4」の仕様を正式発表 Type-Cで40Gbps伝送が可能に (ITmedia, 9/4)。「USB 3.2、USB 2.0、Thunderbolt 3との下位互換性」
》 Twitter、SMS経由のツイート機能を一時停止 ドーシーCEOの偽ツイート事件後に (ITmedia, 9/5)
》 Google、「Android 10」を正式リリース (窓の杜, 9/4)
》 Windowsの影響力低下がMicrosoftを幸せにする理由 (ComputerWorld, 9/3)。 GAFA には含まれないのに時価総額世界トップの会社、Microsoft。 こんな時代が来るとはなあ。 Windows Phone が失敗して本当によかったね。
》 ゲーム世界を崩壊に追い込むチートbot 1日2億件の不正ログインの実態 (ITmedia, 9/3)
》 もう3000ページのPDFを見ずに済む? キャッシュレス還元店舗の検索サイトをZaimが公開 (やじうま Watch, 9/5)。官僚ギャグに対抗。
出ました。
Firefox 69 がリリースされた (MozillaZine, 2019.09.04)。「Firefox ESR もバージョン 68.1.0 および 60.9.0 にアップデートされている」。
Firefox for Android 68.1 がリリースされた (MozillaZine, 2019.09.04)
》 Amazonの偽レビューや偽値下げ・偽セールを簡単に見破る2つの方法:世永玲生の電網マイノリティ (engadget, 9/2)。 サクラチェッカー、 ReviewMeta、 Review Analyzer ですか。
》 NURO光ユーザーに割り当てられたIPアドレス、一部が海外のものと判定され国内サービスの利用に支障が出る (スラド, 9/2)。92.202.0.0/15。
一方、こうした状況を知りつつも十分なエージングを行わず海外のIPアドレスを加入者に割り当てるNURO光への批判も出ており、その事実を伏せたまま勧誘を継続することは電気通信事業法で定める「不実告知の禁止」(第27条の2第1号)に抵触するのではないかとの声も出ている。
》 海底光ファイバーケーブルを含めた全通信の集団監視をしていたことを南アフリカ当局が認める (gigazine, 9/3)
》 Googleは一切の猶予なしにAndroidアプリの開発者アカウントを停止しているとして不満が噴出 (gigazine, 8/30)
》 イランの核燃料施設へのサイバー攻撃は「オランダのスパイ」を潜入させて実行されたという詳細 (gigazine, 9/3)
情報筋によると計画の中心はNSA、CIA、Mossad、イスラエル国防省、8200部隊でしたが、オランダやドイツ、フランス、イギリスの情報機関の援助も受けていたことから、コード名が「オリンピック大会」となったとみられています。
》 防災月間!防災に最適なアイテムをおすすめセール! (目指せ!ライトマニア HATTAのLEDライトレビュー, 8/30)
》 攻撃グループBlackTechが侵入後に使用するマルウエア (JPCERT/CC, 9/3)。「今回は、攻撃グループBlackTech が侵入後に使用するTSCookieの亜種について紹介します」
》 Scalable infrastructure for investigations and incident response (Microsoft Security Response Center, 8/30)
》 SIMスワッピングによるTwitter CEOアカウントのっとりについてまとめてみた (piyolog, 9/1)
》 外交・安保政策のトップに“官邸のアイヒマン”就任の危うさ (日刊ゲンダイ, 9/2)。レイプ事件もみ消し疑惑でおなじみの北村滋氏。
》 NotPetyaによる損害と保険の適用 (IT Research Art, 8/31)。NotPetya はロシアによるサイバー作戦なので、
チューリッヒ保険会社は、「政府または主権」による「平和時または戦時の敵対的または戦争的行動(hostile or warlike action)」によるものであるとして、免責を主張したということです。
ほえ〜。
》 有名アプリ「CamScanner」にマルウェア混入【Android版】 (telektlist, 9/2)。CamScanner 無料版がマルウェアに。
今回の問題の原因となったのは広告配信用のSDKだと判明しており、AdHubという業者が提供するものでした。
元ねた: 悪意あるアプリに変貌したスキャナーアプリ (Kaspersky, 8/28)
》 トランプ氏、機密画像をツイート? イランのロケット爆発現場が鮮明に (CNN, 8/31)、 US official confirms that Trump tweeted out a picture from a classified intelligence briefing (Business Insider, 8/30)
米当局者はCNNに対し、問題の画像について、米情報機関が運用する人工衛星によって撮影されたとみられると説明。無人機(ドローン)で撮影された可能性は低いとの見方を示した。
》 ファーウェイの今後を占う今月のMate 30の発表 (techcrunch, 9/2)、 「HUAWEI Mate 30」、9月19日に発表へ (CNET, 9/3)
》 Avastと仏警察、85万台感染の暗号通貨マイニング・ボットネットを壊滅 (techcrunch, 9/2)
》 OSSセキュリティ技術の会 第六回勉強会 大紅帽八連制覇の巻 (connpass)。2019.09.30、東京都渋谷区、無料。 面さん情報ありがとうございます。 RHEL8 のセキュリティ機能に focus した勉強会だそうです。 既に募集人数を越えてますね。キャンセル待ちになるのかな。
》 「トイレ臭い」東京五輪会場のお台場の海に"茶色"の泡が出現! (週プレNEWS, 8/26)。うへえ。
》 令和初の情報危機管理コンテストに見る、真の対応力――理想通りにいかない環境で、理想のインシデント対応に近づくには? (高橋睦美 / @IT, 9/2)
もともとの話。
Appleが15インチMacBook Proのバッテリーが発火するとしてリコール、リコール対象かチェックする方法まとめ (gigazine, 6/21)。「2015年9月から2017年2月にかけて販売されたMacBook Pro」(MacBook Pro(Retina, 15-inch, Mid 2015)) の一部機種でバッテリー発火の恐れがある件。
米連邦航空局、リコール対象の「MacBook Pro」の機内持ち込み禁止 (ブルームバーグ, 8/14)
航空各社で、危険視される対象が拡大しているそうで。
各国の航空会社、リコール対象機に関係なくMacBookの航空機持ち込みを続々厳格化 (gizmodo, 9/2)
MacBookの航空機への預け入れ禁止、ついに全モデルに適用する航空会社が現れる (Internet Watch, 9/2)
2019 年 8 月のセキュリティ更新プログラム (月例) (2019.08.19)
KB4512941 を適用すると CPU 負荷が高くなり続けるという事例が複数報告されているそうです。また、この現象は BingSearchEnabled を 0 に設定 している場合にのみ発生するそうで、 Windows 10 のデフォルト設定では発生しないそうです。
「Windows 10 1903」で更新プログラム適用後にCPU使用率が急上昇との報告 (CNET, 2019.09.03)
【アプデ/10】 v1903用KB4512941を適用後、CPU使用率が高くなったまま戻らなくなる不具合。対処方法あり (ニッチなPCゲーマーの環境構築, 2019.09.01)
》 Microsoft、Edge/IE11のFlash削除ロードマップを更新 ~次期EdgeはChromiumと歩を揃えて段階的に廃止 (窓の杜, 9/2)
》 簡単なパスワードでRDPを空けておいたら、数時間でハッキングされマイニングツールを仕込まれた話 (Internet Watch, 9/2)
FaceTimeのバグであなたのマイクロフォンとカメラを誰でも盗聴盗視可能に (2019.01.29)
iOS 12.1.4 で修正された、FaceTime とは異なる欠陥の件 CVE-2019-7286 (Foundation) CVE-2019-7287 (IOKit) の詳細が Google Project Zero から公開された。
A very deep dive into iOS Exploit chains found in the wild (Google Project Zero, 2019.08.29)
悪質ウェブサイトを利用して数年間もiPhoneが秘かにハックされていたことが判明 (techcrunch, 2019.08.30)
そして、攻撃対象はウイグル人だったという話が。
iPhone Hackers Caught By Google Also Targeted Android And Microsoft Windows, Say Sources (Forbes, 2019.09.01)
The unprecedented attack on Apple iPhones revealed by Google this week was broader than first thought. Multiple sources with knowledge of the situation said that Google’s own Android operating system and Microsoft Windows PCs were also targeted in a campaign that sought to infect the computers and smartphones of the Uighur ethnic group in China. That community has long been targeted by the Chinese government, in particular in the Xinjiang region, where surveillance is pervasive.
iPhoneハッキングは中国政府によるウイグルのムスリム攻撃の疑い (techcrunch, 2019.09.02)
iPhoneエクスプロイトのターゲットはウイグルのイスラム教徒?──TechCrunch報道 (ITmedia, 2019.09.02)
2019 年 8 月のセキュリティ更新プログラム (月例) (2019.08.19)
VB の件、Windows 10 バージョン 1903 用の patch が出たそうです。
VB問題を解決 ~Windows 10 May 2019 Update向けオプションパッチ「KB4512941」が公開 (窓の杜, 2019.09.02)
「Firefox 68」が正式公開 ~アドオン管理を改善、新しい拡張機能との出会いの場に (2019.07.10)
Thunderbird 68.0 が出ました。
Mozilla、「Thunderbird 68.0」リリース (OSDN, 2019.08.29)
Thunderbird 68.0 がリリースされた (MozillaZine, 2019.08.29)
Palo Alto Networks、Fortinet、Pulse Secure の SSL VPN に欠陥がある話。
JVNDB-2019-006592 - PAN-OS における入力確認に関する脆弱性 (JVN, 2019.07.24)。 CVE-2019-1579。 リモートから無認証で任意のコードを実行できる。 PAN-OS 7.1.19 / 8.0.12 / 8.1.3 以降で修正。 また PAN-OS 9.0 にはこの欠陥はない。
関連: GlobalProtect の設定方法 (Palo Alto Networks)
JVNDB-2018-015565 - Fortinet FortiOS におけるパストラバーサルの脆弱性 (JVN, 2019.06.17)。 CVE-2018-13379。 リモートから無認証で FortiOS のシステムファイルを取得できる。FortiOS 5.6.8 / 6.0.5 / 6.2.0 で修正されている。また FortiOS 5.4.13 で修正される予定……と FG-IR-18-384: FortiOS system file leak through SSL VPN via specially crafted HTTP resource requests (Fortinet, 2019.08.30 改訂) にある。FortiOS 5.4.13 はまだリリースされてないっぽい。
JVNDB-2019-004411 - Pulse Secure Pulse Connect Secure におけるパーミッションに関する脆弱性 (JVN, 2019.5.31)。 CVE-2019-11510。 SA44101 - 2019-04: Out-of-Cycle Advisory: Multiple vulnerabilities resolved in Pulse Connect Secure / Pulse Policy Secure 9.0RX (Pulse Secure, 2019.08.20 改訂) の中の 1 つ。 リモートから無認証で Pulse Connect Secure ゲートウェイ上の任意のファイルを取得できる。 Pulse Connect Secure 9.0R4 / 9.0R3.4 / 8.3R7.1 / 8.2R12.1 で修正されている。また 9.1R1 以降 / 8.1RX 以前にはこの欠陥はない (が、8.1RX 系には別の欠陥があり 8.1R15.1 で修正されている)。
観測報告:
Fortinet SSL VPN vulnerability from May 2019 being exploited in wild (OpenSecurity.global, 2019.08.22)
Over 14,500 Pulse Secure VPN endpoints vulnerable to CVE-2019-11510 (Bad Packets, 2019.08.24)
解説記事:
CVE-2018-13379、CVE-2019-11510: FortiGateおよびPulse Connect Secureの脆弱性を突いた攻撃が確認される (tenable, 2019.08.27)
ChangとTsaiは、CVE-2018-13379をFortiGate WebVPNの認証後ヒープオーバーフロー脆弱性であるCVE-2018-13383と組み合わせることができると報告しています。攻撃者がSSL VPNに、エクスプロイトファイルをホストする攻撃者が制御するWebサーバーにプロキシするように指示した場合、発生する可能性があります。
FortiGate SSL VPNで発見されたもう1つの注目すべき脆弱性はCVE-2018-13382で、研究者らはこれを「マジックバックドア」と呼んでいます。(中略) ChangとTsaiは調査結果でmagic文字列を開示しませんでしたが、他の研究者はそれを再現することに成功し、magic文字列を公開しました。そのため、近日中に攻撃者により悪用される可能性が高いと考えられます。
Pulse Connect Secureの任意のファイル開示脆弱性であるCVE-2019-11510の概念実証の開示に続いて、攻撃者は脆弱なPulse Connect Secure VPNサーバーエンドポイントのスキャンを開始しはじめました。 CVE-2018-13379と同様に、攻撃者はユーザー名とプレーンテキストパスワードを取得するためにCVE-2019-11510を使用して脆弱性のあるシステムを探し出しています。認証されると、攻撃者は、管理Webインターフェイスのコマンドインジェクションの脆弱性であるCVE-2019-11539を利用して、通常は制限されている環境(企業ネットワークなど)にアクセスできます。
過去の記事: 2019 | 2018 | 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998
![[セキュリティホール memo]](/~kjm/security/memo/memologo-s.png)