![[SCAN Security Wire NP Prize 2001]](/~kjm/security/memo/scan_prize.gif){kind=small}
「Scan Security Wire」 主催の SCAN Security Wire NP Prize 2001 を受賞しました。
「ネットランナー」の ベスト・オブ・常習者サイト 2003 で金賞を、ベスト・オブ・常習者サイト 2004 で銀賞を受賞しました。
Last modified: Thu Jan 24 14:10:06 2019
+0900 (JST)
短縮 URL: http://goo.gl/pwSG QR コード:
http://goo.gl/pwSG.qr
Security Watch さんが店じまいされてしまったので、 個人で追いかけてみるテストです。 備忘録として書いておくつもりなので、 Security Watch さんのような詳細なものではありません。 基本的なターゲットは UNIX、Windows、Mac OS (priority 順) とします。 また、このページの内容はどのページにも増して無保証であることを宣言しておきます。全ての情報が集まっているわけもありません。
ここに載せる情報については、可能な限り 1 次情報源へのリンクを作成しておきます。 各自で 1 次情報源の内容を確認してください。 このページの内容をくれぐれも鵜飲みにしないように。 間違いを発見された方、記載されていない情報をご存知の方、ぜひおしえてください。よろしくお願いいたします。
このページの情報を利用される前に、注意書きをお読みください。
[ 定番情報源 ] 過去の記事: 2019 | 2018 | 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998
|
|
「Scan Security Wire」 主催の SCAN Security Wire NP Prize 2001 を受賞しました。 |
|
「ネットランナー」の ベスト・オブ・常習者サイト 2003 で金賞を、ベスト・オブ・常習者サイト 2004 で銀賞を受賞しました。 |
復刊リクエスト受付中:
ジェイムズ.F.ダニガン「 新・戦争のテクノロジー」(現在56票)
中山信弘「ソフトウェアの法的保護」 (現在116票) (オンデマンド購入可)
陸井三郎訳・編「ベトナム帰還兵の証言」 (現在107票)
林克明「カフカスの小さな国 チェチェン独立運動始末」 (現在172票)
田中徳祐「我ら降伏せず−サイパン玉砕戦の狂気と真実」 (復刊決定)
RSS に対応してみました。
小ネタは含まれていません。「政治ねたウゼェ」という人は RSS ベースで読むと幸せになれるでしょう (ウザくない人は こっちの RSS がよいかもしれません)。
RSS 1.0 ですので、あくまで RDF Site Summary です。
現在は Really Simple Syndication には対応していません。
今すぐ Really Simple Syndication がほしい人は、のいんさんによる
Web サイトの RSS を勝手に出力するプロジェクト
……のものがうまくいっていないようなので、
セキュmemoのRSS生成
をご利用ください。Tamo さん情報ありがとうございます。
》 ゾフルーザは本当に夢の薬? (日経メディカル, 1/24)
治験時に9.7%の薬剤耐性ウイルスが出現していることにも注視しなくてはなりません。この薬剤に対してウイルスが急速に耐性化する懸念があるのです。
関連: ゾフルーザの耐性株、AH3亜型の9.5%に検出 21株中2株、いずれも投与3日後の児童から単離 (日経メディカル, 1/23)
2019 年 1 月のセキュリティ更新プログラム (月例) (2019.01.09)
Windows 7 / Server 2008 R2 では、他にも不具合が発生していたようで。
2019 年 1 月 8 日の更新プログラムを適用すると、ファイル サーバーへの通信やリモート デスクトップ接続が不可能となる (Ask the Network & AD Support Team, 2019.01.10)。 「そのコンピューターに対して Administrators グループに所属しているローカル ユーザーを用いてアクセスすると、接続に失敗する」。 修正プログラムあり。
ライセンス認証の失敗と、2019 年 1 月 8日ボリューム ライセンスの Windows 7 の KMS クライアントの周りの「非正規品」の通知 (Microsoft KB 4487266)。 KB 971033 を削除することで回避できる。
》 グーグル、欧州からの「Googleニュース」撤退を示唆--EU著作権指令改正への対応で (CNET, 1/23)
》 インフルエンザ感染が急激に拡大中! ビッグデータの予測値が昨年のピーク並みに (Yahoo, 1/21)
》 厚労省発表では、ゾフルーザの供給量は約40.8万人分 手代木社長に聞く、ゾフルーザの出荷調整の理由 (日経ドラッグインフォメーション, 1/22)。不足するはずのない量を生産しているそうなのだが、
不足の原因として手代木氏は、「SNS上で、医師の間で『ゾフルーザがなくなるから早く買った方が良い』と噂が回り、卸売御者も『確保しておかないとなくなってしまう』といった誤った情報の連鎖によって、受注が受注を生んでいる」と分析。インフルエンザシーズン後の4~5月に過剰在庫が大量返品となる可能性を懸念する。
うわ……。
今回は watchOS も同時に更新されています。
About the security content of iOS 12.1.3 (Apple, 2019.01.22)
About the security content of tvOS 12.1.2 (Apple, 2019.01.22)
About the security content of watchOS 5.1.3 (Apple, 2019.01.22)
About the security content of macOS Mojave 10.14.3, Security Update 2019-001 High Sierra, Security Update 2019-001 Sierra (Apple, 2019.01.22)
About the security content of Safari 12.0.3 (Apple, 2019.01.22)
About the security content of iCloud for Windows 7.10 (Apple, 2019.01.22)
Apache httpd 2.4.38 公開。3 件のセキュリティ欠陥 (mod_session CVE-2018-17199, mod_http2 CVE-2018-17189, mod_ssl CVE-2019-0190) が修正されている。 iida さん情報ありがとうございます。
関連: Apach HTTP Server の脆弱性情報(Important: (mod_ssl) CVE-2019-0190 , Low: (mod_session_cookie) CVE-2018-17199) (SIOS, 2019.01.23)
apt/apt-get に欠陥。HTTP リダイレクトの処理に欠陥があり、remote から任意のコードを実行できる。CVE-2019-3462
以下のように実行することで HTTP リダイレクトを無効化でき、本欠陥を回避できる。
$ sudo apt update -o Acquire::http::AllowRedirect=false
$ sudo apt upgrade -o Acquire::http::AllowRedirect=false
各 Linux ディストリビューターから修正パッケージが配布されている。
CVE-2019-3462 (Debian)
Bug #1812353 “content injection in http method (CVE-2019-3462)” : Bugs : apt package (Ubuntu)。 「apt, starting with version 0.8.15」と書かれている。
》 ロシアの通信規制当局、FacebookとTwitterにデータ関連法の遵守を要求 (CNET, 1/22)
Firefox 64.0 / ESR 60.4.0 公開 (2018.12.14)
Thunderbird 60.4 が出たようです。
「Thunderbird 60.4」では“Critical”1件を含む6件の脆弱性が修正 (窓の杜, 2019.01.18)
捜査関係事項照会の件。
捜査関係事項照会は、捜査当局が独自に企業側に出す要請にすぎず、捜査に必要かどうか外部のチェックは働かない。取得後の使用方法なども不明で漏えいリスクもある。当局への提供は顧客本人に通知されない。
検察が作成した「捜査上有効なデータ等へのアクセス方法等一覧表」を共同が入手。
入手したリスト「捜査上有効なデータ等へのアクセス方法等一覧表」によると、顧客情報は公共交通機関や商品購入の履歴、位置情報といった個人の生活に関わるもので計約三百六十種類。(中略) 捜索差し押さえ許可状などの令状が必要と明示しているのは二十二種類だけ。残りの大半は捜査関係事項照会などで取得できるとしている。
「一覧表」には「約二百九十団体」の名前があったそうで。
対象に挙げられた企業は、主要な航空、鉄道、バスなど交通各社やクレジットカード会社、消費者金融、コンビニ、スーパー、家電量販店などさまざま。買い物の際に付与され、加盟店で使用できるポイントカードの発行会社や、携帯電話会社も含まれている。
入手可能とされた情報は、ICカードなどの名義人や使用履歴に加え、カード作成時に提出された運転免許証などの写し、顔写真も含まれる。リストにあるドラッグストアやレンタルビデオ店、書店の購入情報を加えれば、対象者の健康状態や思想信条、趣味嗜好(しこう)を把握することも可能だ。
当該の「一覧表」の写真が、検察、顧客情報入手方法リスト化 290団体分保有 (福井新聞) などにある。 雰囲気しかわからないが。
で、共同はその「約二百九十団体」にアンケートを取ったそうで。
捜査当局に任意提供3割 29団体、顧客向け説明なし (共同, 2019.01.04)
共同は取材を進め、スマホゲーム運営会社から位置情報が漏れていたり、
スマホゲームで位置把握か 捜査にGPS利用可能性 (カナロコ, 2019.01.13)
ゲーム位置情報で捜査か 令状なく運営会社通じ (中日, 2019.01.14)
内部文書に記載されているゲーム運営会社は三社。(中略) 取材に対し、一社は「検察からは年間数件、請求がある。警察からはもっと多い。請求内容の詳細や対応の仕方は答えられない」と回答。別の一社は「そうした事実はない」とし、残り一社は取材に応じていない。
ポイントカード会社からさまざまな情報が漏れていたりを報道しています。
Tカード情報、令状なく提供 レンタルやポイント履歴 会員規約に明記せず (東京, 2019.01.21)
捜査当局はTカードの履歴を対象者の「足跡」として、積極的に活用している。捜査関係者によると、ポイントサービスを展開するCCCへの情報照会は日常的で、一度に数十件の照会をした部署も。数の多さにCCCの回答が遅れがちとなり、利用ルールを守るよう当局内で周知されたこともあった。
捜査関係者によると、捜査関係事項照会はカード番号か、氏名、生年月日などで問い合わせる。一方、特定のレンタルビデオの利用者一覧という尋ね方では回答を得られないという。
ある事件では、捜査担当者が対象者のTカードを照会したところ、ほぼ毎日、同じ時間帯に特定のコンビニに来店し買い物をしていると判明。店の防犯カメラの映像から本人と特定し、待ち伏せして身柄を拘束した。捜査関係者は「ポイントが付くのに、カードを提示しない理由はない」と話す。Tカードを貴重な情報源と位置付けている。
T カード運営の CCC は、2012 年からユルユルにしましたと告白。
Tカードの情報に関する一部報道について (CCC, 2018.01.21)
弊社の保有する個人情報は年々拡大し、社会的情報インフラとしての価値も高まってきたことから、捜査機関からの要請に基づき、2012年から、「捜査関係事項照会書」があった場合にも、新たに施行された個人情報保護法に則り、一層の社会への貢献を目指し捜査機関に協力してまいりました。
個人情報がたくさん集まり、社会インフラとなったのに、情報の扱いをユルユルにする会社。
個人情報保護法は 2003 年成立、2005 年全面施行。 2015 年に改正され、2017 年に全面施行。 なので、
2012年から、「捜査関係事項照会書」があった場合にも、新たに施行された個人情報保護法に則り
「新たに施行された個人情報保護法に則り」は意味不明な戯言。 単に、2012 年以降、ザルな扱いにしましたという話。
Tカード情報、令状なく当局に提供 今後は規約に明記へ (朝日, 2019.01.21)
「Tカード情報提出」CCCに欠けている意識 問題の本質はどこにあるのか (本田 雅一 / 東洋経済, 2019.01.22)
他の会社は?
問われる警察への「任意」情報提供 異なる個人情報の扱い (毎日, 2019.01.22)
NTTドコモによると、携帯電話や同社が提供している「dポイントカード」の情報については、「捜査関係事項照会書」により捜査機関に提供するケースはあるが、利用者の通信履歴や位置情報など「通信の秘密」に該当する部分は令状なしに提供することはないという。同社は「令状なしで提供できる情報はケース・バイ・ケースだ」と話す。
交通系電子マネー「PASMO」のシステムを利用する東京メトロや、「Suica」のシステムを利用するJR東日本、共通ポイントサービス「Ponta(ポンタ)」を運営する「ロイヤリティ マーケティング」(東京)などは、いずれも「捜査関係事項照会書」の提示があった場合、個人情報を提供している。
無料通信アプリのLINE(ライン)は、令状などに基づきLINEアプリの利用者の通信履歴などを捜査機関に提供し、その状況について16年下半期(7~12月)分から6カ月ごとに「透明性リポート」として公表している。
関連:
LINE Transparency Report (LINE)
LINE Transparency Report 2018年1-6月 (LINE)
当社では2018年1-6月の間にLINEメッセンジャーアプリに対し、前期間比13%(186件)増となる1,576件の要請を世界各国の捜査機関から受領し、うち76%の1,190件の要請に対し何らかの情報開示を行いました。要請数の増加の大部分は日本(人身被害関連/31%増)と台湾(金銭被害関連/28%増)の捜査機関からの要請増に起因しています。 (中略) 当社に対する要請は、日本(86%)と台湾(11%)の捜査機関が大部分を占めています。この傾向は統計を開始した2016年(日本:87%、台湾:10%)と大きな変化はありません。
「Tカード情報、令状なく提供」報道が波紋 「Ponta」「dポイント」の対応状況は? (ITmedia, 2019.01.21)
Pontaを展開するロイヤリティ マーケティング(東京都渋谷区)の広報担当者は、取材に対し「捜査当局からの要請があった場合、法令に従い、捜査関係事項照会の手続きをした上で、必要な範囲で情報を提供している」と説明しました。
NTTドコモの広報担当者も「dポイントを含むサービス全般で、捜査当局から要請があった場合、捜査関係事項照会書をいただき、それに基づいて捜査に協力する場合がある」と回答しました。
ショボい……。
関連:
捜査機関から「照会」があったとき (日本図書館協会)
図書館としては、守秘義務があること、法的手続きを経ずにデータを公開することはできないこと、また法的手続きを経た場合でも必ずしもデータの公開が約束できないことを説明します。そのうえで、何のために、どのデータを必要としているのかを限定する方向で要求を整理していきましょう。こうした調整を通じて状況を把握して整理し、図書館の立場・考え方の基本を落ち着いて提示していくことが大事です。
そのさい、「捜査関係事項照会書」さえ提出されれば求められたデータを開示する、という誤解が発生しないように注意深く調整を進めましょう。
こうした客観的で原則的な対応だけで、捜査機関からのデータ提出要請が撤回される例もあります。
警察へ利用者情報 任意協力の提供に疑問視も-苫小牧市立中央図書館 (苫小牧民報, 2018.11.13)
》 バス運転士不足解消へ 意識改革に主眼「塾」始動 京成グループ社員ら受講 (千葉日報, 1/20)
バス業界では運転士になってもすぐに辞めてしまう人が多いことが人手不足を助長している。背景には、労働時間が不規則なことなど仕事内容に見合った賃金が支払われていない実情がある。
だよね。まずは金を出せ。話はそれからだ。
「運転士道塾」は、「武士道」に着想を得た「運転士道」の理念に基づいて職業への誇りを高め、仕事にやりがいを持ってもらうことで離職を防止する狙い。
オイオイ、洗脳かよ。本末転倒だろ。とっとと金を出せ。
》 「“著作権厨”をなんとかしたい」 慶応大・田中教授が考える、ネットで有意義な著作権の議論に必要なこと (ITmedia, 1/16)
》 海賊版リーチサイト「はるか夢の址」運営者に実刑判決 (大阪地裁 1/17)
リーチサイト「はるか夢の址」運営に実刑判決、講談社「重大な意義がある」 (弁護士ドットコム, 1/17)
元大学院生の男性には懲役3年6カ月、IT会社元代表の男性には懲役3年、無職の男性には2年4カ月の有罪判決が言い渡された。
はるか夢の址」大阪地裁の判決についてのコメント (講談社, 1/17)
「はるか夢の址」を通じたアップロード、主犯格男性らに実刑判決 (ACCS, 1/17)
》 「Googleマップ」のナビ、一部地域で「制限速度」と「ネズミ捕り」アイコン表示開始 (ITmedia, 1/21)。 マジか。「日本は今のところ対象外だ」
》 北極海や南極大陸でも……地球全域でクリアに通信「イリジウムCertus」、KDDIが「Certus350」として提供へ (ITmedia, 1/21)、イリジウム Certus (KDD)。 「船舶向けのCertus350からスタートし、順次さまざまなサービスをリリースする予定です」。
》 Microsoft、2019/2020年にサポートを終了する主要製品のリストを公表 「Windows 7」や「Windows Server 2008/2008 R2」、「Office 2010」など (窓の杜, 1/21)
》 Redis、MongoDB、Kafkaらが相次いで商用サービスを制限するライセンス変更。AWSなどクラウドベンダによる「オープンソースのいいとこ取り」に反発 (Publickey, 1/16)。オープンソースのマネタイズは簡単じゃないという話の最新版かな。
》 岡山県警の“新PITシステム”に、京セラ「TORQUE」&カシオ「PRO TREK Smart」導入、緊急時に位置情報など素早く送信 (Internet Watch, 1/17)。岡山県警ローカルな話みたい。
》 史上最大の情報流出、7億超のメールアドレスと2000万超のパスワードが公開 (ComputerWorld, 1/21)。膨大な量 (「7億7290万4991件」) のまとめデータが発見されたという話。 既知の流出との相違がどのくらいあるのかは明記されていない。
》 重要インフラサイバーセキュリティコンファレンス2019。 2019.02.21、東京都港区、無料。
》 「Microsoft Silverlight」が新元号へ対応 約1年半ぶりのアップデート (窓の杜, 1/17)。おぉ。
現在「Silverlight」を利用できるのは、「Internet Explorer」のみだ(2021年10月12日までサポート)。
関連:
Silverlight (Facebook)。公式。
藍澤光 Aizawa Hikaru (Facebook)。非公式。
藍澤光 @aizawa_hikaru (twitter)。非公式。
》 「インターネットの安全・安心ハンドブック」最新版を無料で公開、内閣サイバーセキュリティセンターが国民向けセキュリティ啓発コンテンツ (Internet Watch, 1/18)。 題名が変わったようで。元の題名である 「ネットワークビギナーのための情報セキュリティハンドブック」だと Ver 4.00 にあたる、ということのようです。
Android版アプリでは1月31日に最新版が配信される(iOS版も後日配信予定)。
各社の電書、元の題名と同じ書籍だと認識されるのかなあ。 それとも、新しい題名と元の題名と、両方で配信するのだろうか。
これは怖い。不具合でした、では済まんだろ。
この不具合の影響を受けるのは2014年11月3日から2019年1月14日までの間に、登録しているメールアドレスなど、アカウントに関する設定をAndroid版「Twitter」アプリで変更したユーザー。iOS版「Twitter」アプリや“twitter.com”に影響はない。
「影響を受けるのは」ではなく、影響を受けた可能性があるのは、のようですが、当該事象がどのくらいの割合で発生したのかといった詳細は不明。
》 著作権法改正で何が起きる? コミケ、二次創作の行方は 弁理士がポイントを解説 (ITmedia, 1/17)
これを NSEC/NSEC3 Replacement Attack と呼ぶのはどうだろう? (2018.11.30)
知らないってのは恐い - DNS 温泉 番外編 (第一フラグメント便乗攻撃の理解のために) (インターノット崩壊論者の独り言, 2019.01.17)。 DNS温泉 番外編(2019年2月) において、解説とデモが行われるそうです。
》 海賊版サイト問題の解決を阻む「防弾ホスティング」 その歴史から現在までを読み解く (ITmedia, 1/17)
》 渡辺志保 R.KELLY告発ドキュメンタリー『Suriviving R.Kelly』を語る (miyearnZZ Labo, 1/15)
この番組のテーマのひとつになっているのは、「被害にあったのが黒人女性だったからこそこの事件、R.ケリーがしてきたことが明るみに出てくるまでにすごく時間がかかってしまったのではないか? 被害にあったのが白人の女の子だったら、もうすぐにえらいことになってたんじゃないか?」っていうことも言われてまして。
うわ……。
やっぱりそこまでブラックコミュニティーに深く深く根ざしたアーティストだからこそ、彼が陰で、裏でこんなおぞましいことやってるなんてやっぱり最初は誰も認めたがらないっていうことも言われておりまして、まさにそうだろうなと。かつ、やっぱりそれだけ大きいアーティストになりますと、稼ぐ額が変わってきますので。やっぱりそのR.ケリー1人が稼働して、それで生計を立ててるようなスタッフとかが周りにたぶんたくさんいるから、何かひとつ、「事件が起こりました」ってなっても、もう示談金で解決できるものは解決して、それでもう終わりにしましょう、みたいなケースも非常に多かったのではないかなと思いますし。
うわ……。
》 カミソリの米ジレット、「男らしさ」を問いかける広告動画が話題に。ネットには賛否の声 (ハフポスト, 1/16)。いいぞジレット。 私はフィリップスユーザーなので使えないのだけど。 (手動シェーバーだと血まみれになっちゃうので……)
》 英国金融機関Euro Exim Bank、国際送金に米リップル社の仮想通貨XRPを導入へ (仮想通貨 Watch, 1/16)
》 除草剤ラウンドアップ、フランスで即日販売禁止に (AFPBB, 1/16)。すばらしい。
》
中学生を匿名ブログで中傷 66歳男性に侮辱罪で略式命令
(BuzzFeed, 1/16)。匿名ヘイトブログに略式命令で罰金科料 9000 円。安すぎる。
男子生徒と家族から相談を受けた弁護団は2018年2月、中でも悪質だったブログ「写楽」の刑事告訴を検討。
管理会社のサイバーエージェントに任意の発信者情報開示を請求し、仮処分申し立てを経てIPアドレスを入手。プロバイダへの発信者情報開示を実施した。
この段階でブログ記事も削除された。管理者の男性は「侮辱する意図で作成したものでもございません」としていたが、弁護団は川崎署に侮辱罪での告訴状を提出。12月20日に川崎簡易裁判所が略式命令を下し、2019年1月に確定した。
手間とコストがかかりすぎる。
今後、男性に損害賠償を求める民事訴訟の提訴も検討している。
コストを取り戻すための手間が、さらにかかる現実。
》 Appleを装ったフィッシング詐欺が巧妙になってきている (gizmode, 1/17)、 Apple Phone Phishing Scams Getting Better (Krebs on Security, 1/3)
この件が懸念されるべきなのは、Appleのデバイス、携帯会社のAT&T、あるいはその両方を騙すことで、本物のサポートセンターの様に見せかけることができる点です。Westby氏は不審な点が分かるのですぐに気づきましたが、彼女がKreb氏に対し、「非常に説得力があるので、騙される人も多く出るのではと思います」と語っています。
》 ばいばいアップル税。Netflixが全世界でアプリ内課金やめる。節税幅がすごいことに (gizmode, 1/8)
Appleに売上の15%を徴収されてしまうのを嫌ったもの。(中略) Netflixって売上半端ないので、15%でも昨年だけで推定2億5600万ドル(約277億円)にもなってしまう計算。
》 Ethereum Classic 51%攻撃に続報、実被害額9千万円超の盗難ETCは返還され事態収束か (仮想通貨 Watch, 1/17)。結局、51% 攻撃だったことで確定なんですかね。
》 コインハイブ事件 高木浩光氏「刑法犯で処罰されるものではない」公判で証言 (弁護士ドットコム, 1/15)。関連:
モッチーさんの、このツイートに続く一連のツイート:
Coinhive(コインハイブ)裁判の第二回公判 高木浩光氏の証人尋問も傍聴してきました。
— モッチー@少年クリプト編集長 (@shonen_mochi) January 15, 2019
今回も『弁護士ドットコムNEWS』さんがわかりやすくまとめてくれていますが、書かれていないことをスレにまとめていこうと思います。https://t.co/wm2wVErPob
Coinhive事件、高木浩光氏が証人として裁判に出廷 (スラド, 1/17)
》 自動車向けのレーザーセンシング装置が原因でデジカメのセンサーが損傷したという報告 (スラド, 1/17)
LiDARでは波長1,000nm以下のレーザーを使用することが多いが、人間の眼の網膜を傷つける危険性があるため出力が制限されている。一方、AEyeが使用している波長1,550nmのレーザーは眼球内の液体に阻まれて網膜まで到達しないため、より高出力で利用可能だという。その結果、一般的なLiDARが検出可能な範囲は200~300mなのに対し、AEyeのLiDARは1,000m先まで検出できるそうだ。
しかし、カメラは眼球と異なり、波長1,550nmのレーザーを阻む液体は存在しない。
そこらじゅうにデジタル機器がある時代なので、人間を前提としてモノをつくるのは御法度ということか……。
》 ブロッキング法制化見送り…「通信の秘密」が壁 (読売, 1/15)、 海賊版サイト「ブロッキング」法制化を棚上げへ (共同 / 毎日, 1/15)。それはいいのですが、
政府はブロッキングに代わって、海賊版サイトへ誘導する「リーチサイト」を規制するほか、違法配信と知りながら漫画などをダウンロードする行為を違法化する著作権法改正案を提出する方針だ。
はぁ……。
》 ダウンロード違法化の拡大に反対意見を!(締切は1月6日日曜日) (P2P とかその辺のお話 R, 1/5)、 文化庁 文化審議会 著作権分科会 法制・基本問題小委員会 中間まとめに関する意見募集に意見を提出しました (インターネットユーザー協会, 1/6)。パブコメ受付は終了しています。匿名希望さん情報ありがとうございます。
》 ファーウェイ問題の深淵:サイバースペースで前方展開する米国 (土屋大洋 / ニューズウィーク日本版, 1/16)
ファーウェイ事件の直後に来日した米国国家安全保障局(NSA)の長官も務めたマイク・マッコーネル提督に、「ファーウェイの問題は、米国が同じことができるから中国もできるに違いないという見立てに基づいているのではないですか」と聞いた。 (中略) マッコーネル提督は直接答えなかった。しかし、「チャンスがあれば99%やるのが当たり前だ。やらないほうがおかしい。米国でも中国でも、インテリジェンス活動の対象が決まっていて、そこから情報をとる必要があるならば、可能なことは何でもやるはずだ」というのが彼の答えだった。
いままで US がさんざんやってきたことを、今後は中国にやられそうなので怖がっているわけです。実際にやっているかどうかではなく、できるかどうかが問題で、できるのであれば必ずやるだろうと。
》 サンドボックス「AnyRun」を使ってみた (WATOBAKO, 1/14)
》 Windows 10で脱ウイルス対策ソフトを実践、予期せぬ不安も (日経 xTECH, 1/11)。Windows Defender にしました話。 いまどきの Windows Defender は市販品にひけを取らないようですからね。
こうしてパソコンの設定を終えたが、他社製ウイルス対策ソフトを入れなかったことについて、一抹の不安があるのも事実だ。
とはいえ、市販品を入れれば安心できるわけでもないのですが。
Oracle 四半期定例出ました。 Java SE は 8u201/202 と 11.0.2 LTS が出ています。 VirtualBox は 6.0.2 と 5.2.24 が出ています。
そういえば Amazon Corretto はどうなっているのかなと思って見てみたら、 8u192 の preview2 が最新のようで。 Change Log for the Amazon Corretto 8 Preview (AWS)
》 第1回ばりかた文系専門セキュリティ勉強会。 2019.01.20、福岡県福岡市、無料 (懇親会は有料のようです)。 花田さん情報ありがとうございます。
関連: セキュリティ担当は簡単じゃない (ばりかた文系専門セキュリティ勉強会, 1/10)
》 45億円が160億円に 国購入予定の島、価格を上積み (朝日, 1/9)。馬毛(まげ)島の件。
》 米大手キャリアによる顧客の位置情報販売、報道受け議員らが調査求める (CNET, 1/11)
》 「忘れられる権利」はEU域内のみで適用されるべき--EU法務官が見解 (CNET, 1/11)。「最終判断は今後下される見通しだ」。
》 Global DNS Hijacking Campaign: DNS Record Manipulation at Scale (FireEye, 1/9)
》 redditで相次ぐアカウントのロック、海外から不正アクセスか (ITmedia, 1/11)
》 Windows 7 サポート終了まであと約 1 年。 2020.01.14 に終了。
Windows 10、ついにWindows 7を抜く――デスクトップOSのシェアでトップに (techcrunch, 1/3)。ようやく。
Windows 7と一緒に古いアプリも使えなくなる? OfficeやアプリもOSと一緒に最新版へアップグレードしよう (Internet Watch, 1/10)。Office 2010 は 2020.10 に終了するよ。
Microsoft Windows 7のOSサポート終了に対する移行支援について (トレンドマイクロ, 1/10)
》 空軍基地内の軍事パレードをドローンで攻撃、少なくとも6名死亡 (イエメン)。貧者の空軍力。
イエメン情勢(ドローンによる空軍基地攻撃等) (中東の窓, 1/10)。「その他多数が負傷したが、その中には副参謀長、ラハジェ知事、情報長官、憲兵司令官、第4軍管区報道官等が含まれていて他の報道者も負傷した。 ドローンはお偉方の居る壇の上で爆発した由」
Bomb-laden rebel drone kills 6 at Yemen military parade (AP, 1/11)
Rebel drone bombs Yemen military parade, kills at least 6 (Economic Times, 1/10)
イエメン内戦 “ドローン攻撃の瞬間映像” 戦闘再び激化か (NHK, 1/11)
イエメン最大の空軍基地でドローン攻撃、政権側6人死亡 和平の障害となる恐れ (AFPBB, 1/11)
2019 年 1 月のセキュリティ更新プログラム (月例) (2019.01.09)
適用すると、Windows 7 / Server 2008 R2 でネットワークがつながらなくなることがある模様。
Windows 7/Windows Server 2008 R2向けの月例パッチに問題、ネットワークが動作不能に マンスリーロールアップ「KB4480970」で確認 (窓の杜, 2019.01.10)
同社のサポートページによると、問題が確認されているのは「Windows 7 SP1」および「Windows Server 2008 R2 SP1」向けのマンスリーロールアップ「KB4480970」。セキュリティ関連の修正のみを含んだ「KB4480960」には影響しないようだ。
January 8, 2019—KB4480970 (Monthly Rollup) (Microsoft)
》 海の向こうの“セキュリティ” 「CVSS」とはそもそも何か? 脆弱性対応の優先順位付けではない!? (Internet Watch, 1/9)
》 国&東京都&組織委「東京オリンピックで混雑するから首都高を深夜帯以外は2倍に値上げするよ、大会後もレガシーとしてずっとね」 (Buzzap!, 1/7)
》 十数本のiPhoneアプリにマルウェアサーバーとの通信動作が発覚。App Storeでの配布停止 (engadget, 1/8)
》 WinSCP 5.13.7 が出たそうで (1/8)。
》 拝啓、ZOZO前澤友作様「1億円バラマキ、本当に下品です」 (藤田孝典 / iRONNA, 1/9)。関連:
プチ鹿島 ZOZO前澤社長1億円お年玉企画を語る (miyearnZZ Labo, 1/8)
(プチ鹿島)で、これは市場関係者の話として東スポはこう書いているわけです。「東スポと東洋経済の記事がネットにアップされた数時間後、バラまき企画をブチ上げている」っていう。つまり、ネガティブな話題をかき消すための戦略だったんじゃないかと。
ついに始まる?アパレル「ゾゾ離れ」の現実味 オンワードが全ブランドの商品販売から撤退 (東洋経済, 1/5)
ZOZO前澤社長「1億円バラまき企画」の波紋 (東スポ, 1/8)
「ZOZO離れ」オンワードだけではない!?セレクト各社の危機感 (ダイヤモンド online, 1/9)
》 From Encrypting the Web to Encrypting the Net: A Technical Deep Dive on Using Certbot to Secure your Mailserver (EFF, 1/7)
》 オーストラリアの気象情報サービスの不正アクセスについてまとめてみた (piyolog, 1/8)
》 NSAが無料で独自開発の高機能リバースエンジニアリングツール「GHIDRA」を公開する予定 (gigazine, 1/8)。ギドラ……。逆アセンブラだそうです。
Wireshark 2.6.6 Release Notes (Wireshark, 2019.01.08)
Wireshark 2.4.12 Release Notes (Wireshark, 2019.01.08)
出ました。IE / Edge, Windows, Office, ChakraCore, .NET Framework, Flash Player, ASP.NET, Exchange, Visual Studio。 以下、セキュリティ更新プログラム ガイド から拾ったもの:
IE
Edge
Windows
Windows カーネル
Windows Hyper-V
Jet データベース エンジン
Office
Skype for Android
CakraCore
.NET Framework
Flash Player
ASP.NET
Exchange
Visual Studio
あと、たとえば January 8, 2019—KB4480116 (OS Build 17763.253) (Windows 10 version 1809) を見ると、Known issues として
After installing this update, third-party applications may have difficulty authenticating hotspots.
なんてのが出ているのだが、どのくらいの頻度で影響するものなのか不明。
適用すると、Windows 7 / Server 2008 R2 でネットワークがつながらなくなることがある模様。
Windows 7/Windows Server 2008 R2向けの月例パッチに問題、ネットワークが動作不能に マンスリーロールアップ「KB4480970」で確認 (窓の杜, 2019.01.10)
同社のサポートページによると、問題が確認されているのは「Windows 7 SP1」および「Windows Server 2008 R2 SP1」向けのマンスリーロールアップ「KB4480970」。セキュリティ関連の修正のみを含んだ「KB4480960」には影響しないようだ。
January 8, 2019—KB4480970 (Monthly Rollup) (Microsoft)
Windows 7 / Server 2008 R2 では、他にも不具合が発生していたようで。
2019 年 1 月 8 日の更新プログラムを適用すると、ファイル サーバーへの通信やリモート デスクトップ接続が不可能となる (Ask the Network & AD Support Team, 2019.01.10)。 「そのコンピューターに対して Administrators グループに所属しているローカル ユーザーを用いてアクセスすると、接続に失敗する」。 修正プログラムあり。
ライセンス認証の失敗と、2019 年 1 月 8日ボリューム ライセンスの Windows 7 の KMS クライアントの周りの「非正規品」の通知 (Microsoft KB 4487266)。 KB 971033 を削除することで回避できる。
Flash Player 32.0.0.114 公開。セキュリティ修正は含まれていない、とされている。 Priority: 3。
明日は Windows Update 配信日です。
》 無料SSL認証サービス「Let’s Encrypt」が「2019年にHTTPSがどれだけ普及するか」の予測を発表 (gigazine, 1/5)
》 Introducing new advanced security and compliance offerings for Microsoft 365 (Microsoft, 1/2)
》 『THE ZERO/ONE』休刊のお知らせ (THE ZERO/ONE, 2018.12.31)。おつかれさまでした。
こちらが最後の記事だそうです: 続・日本人マルウェア開発の実態を追う ハッカーとセキュリティ技術者は「文明」と「文化」ぐらい異なる (THE ZERO/ONE, 2018.12.31)
》 SECCON 2018 国際決勝 CTF での Programming Quiz について (熊猫さくらのブログ, 2018.12.30)
》 盗撮・レイプ未遂も…駅トイレの空きが分かる“神アプリ”を犯罪者目線で考えてみた (Business Insider Japan, 2018.12.28)。悪用される危険性の話。
》 少年ジャンプ+編集長に聞く「マンガ編集者がAIを使う」可能性 ── 中国には100万人の漫画家志望がいる (Business Insider Japan, 2018.12.28)
》 米国新聞社で発生したサイバー攻撃についてまとめてみた (piyolog, 2018.12.31)。ランサムウェア?
》 EU、Apache Kafkaなど15のフリー/オープンソースソフトウェアを対象とするバグ発見報酬プログラムを開始 (OSDN, 1/7)。「欧州議会議員でドイツ海賊党所属のJulia Reda氏が発表した」
》 ClamAV 0.101.1 Patch has been released (ClamAV, 1/7)
》 顧客情報、令状なく取得 検察、方法記すリスト共有 (共同 / 中日, 1/4)
入手したリスト「捜査上有効なデータ等へのアクセス方法等一覧表」によると、顧客情報は公共交通機関や商品購入の履歴、位置情報といった個人の生活に関わるもので計約三百六十種類。
検察関係者によると、リストは最高検が捜査への活用を目的に、警察の協力を得て作成し、検察内部のサーバーに保管、随時更新している。
》 警官467人に執筆料1億円超 副業禁止抵触か 昇任試験問題集の出版社 (西日本新聞 / Yahoo, 1/8)。ケーサツの裏はヤミ。
》 Ethereum Classic で 51% 攻撃発生? (そうではなかったと公式見解)
CoincheckとbitFlyer、仮想通貨Ethereum Classicの入出金を一時停止 51%攻撃の懸念によるユーザー資産保護のため (仮想通貨 Watch, 1/8 12:50)
Ethereum Classicで100ブロック超の再編成(reorg)が発生し二重支払いなどの報告も、ネットワーク安定化に向けて調査継続中 (仮想通貨 Watch, 1/8 14:59)
その後の調査によって、Ethereum Classicは本件が悪意ある51%攻撃ではなくセルフィッシュマイニングに類するものだったと発表した。ASICマイナーを開発するベンチャー企業Linzhi社の、1400MH/s(1秒間に14億回ハッシュ計算ができる処理能力)を持つという新型マイニングマシンのテスト運用が、ブロックの大規模な再編成に至った要因であるとしている。
》 辺野古埋め立て 首相が「あそこのサンゴは移植」と発言したが…実際は土砂投入海域の移植はゼロ (琉球新報, 1/8)
》 プチ鹿島 宝島社新聞広告「敵は、嘘」「嘘つきは、戦争の始まり」を語る (miyearnZZ Labo, 1/8)
》 保守速報の敗訴、最高裁で確定。在日女性への差別を認定、「まとめサイト」の新たな判例に (BuzzFeed, 2018.12.12)、 保守速報の上告棄却、李信恵さん「判例が差別解決に役立てばうれしい」 (弁護士ドットコム, 2018.12.12)、 「保守速報」の敗訴確定から見る、保守系まとめサイトと、保守論壇界のゆくえ (論壇net, 2018.12.13)
》 英空港へのドローン侵入で容疑者逮捕、後に釈放 (ZDNet, 2018.12.25)。ガトウィック空港。
》 装輪155mmりゅう弾砲は必要か 下 (清谷信一 / Japan In-depth, 2018.12.15)
「装輪155mmりゅう弾砲」の導入よりも、観測用のヘリやUAV、先方観測誘導部隊の更新導入及び充実、指揮通信およびネットワークの充実、更に精密誘導砲弾の導入などの方が優先順位は高い。島嶼防衛用に必要ならばむしろM777を1個大隊20~30門程度も導入すればいいだろう。
本当にねえ。
》 ウェイモの自動運転車を住民が襲う (新聞紙学的, 1/5)。ラッダイト運動再び、ですか……。
》 山市良のうぃんどうず日記(144): Windows Server 2019の新規インストールはWindowsセットアップに任せてはダメ! (@IT, 1/8)。回復パーティションがアレな件。
》 【「中国でVPNを使ったら行政処罰」の真相を探る】(1)「広東公安執法信息公開平台」の正体 (黒色中国BLOG, 1/7)、 【「中国でVPNを使ったら行政処罰」の真相を探る】(2)VPNで何をしたらアウトなのか? (黒色中国BLOG, 1/7)
2018 年 12 月のセキュリティ更新プログラム (月例) (2018.12.12)
関連:
JVNVU#90683334 - Windows DNS サーバにおけるヒープベースのバッファオーバーフローの脆弱性 (JVN, 2019.01.07)
JVNVU#92038183 - Windows Kernel Transaction Manager (KTM) における競合状態に関する脆弱性 (JVN, 2019.01.07)
Android版Skypeに「パス入力なしでスマホ内部にアクセスできる」脆弱性が発見される (gigazine, 2019.01.04)。「2018年12月23日に行われたAndroid版Skypeアプリのバージョンアップで修正されています」
CVE-2019-0622 | Skype for Android の特権の昇格の脆弱性 (Microsoft)
MsiAdvertiseProduct function (Microsoft TechNet)
JVNVU#92357871 MsiAdvertiseProduct における権限昇格の脆弱性 (JVN, 2018.12.20)
Windowsにゼロデイ脆弱性 ~保護されているファイルを攻撃者によって読み取られる恐れ (窓の杜, 2018.12.21)
JVNDB-2018-010809 - 横河電機製 Vnet/IP オープン通信ドライバにサービス運用妨害 (DoS) の脆弱性 (JVN, 2018.12.25)
YSAR-18-0008: Vnet/IPオープン通信ドライバにサービス運用妨害(DoS)の脆弱性 (横河電機, 2018.12.21)
Django security releases issued: 2.1.5, 2.0.10, and 1.11.18 (oss-sec ML, 2019.01.04)。「CVE-2019-3498: Content spoofing possibility in the default 404 page」を修正。
[CVE-2018-17197] Apache Tika Denial of Service -- Infinite Loop in Tika's SQLite3Parser (oss-sec ML, 2018.12.22)。1.20 以降で修正。
[CVE-2018-17191] Apache NetBeans 9.0 Proxy Auto-Configuration (PAC) interpretation is vulnerable for remote command execution (RCE) (oss-sec ML, 2018.12.30)。 Apache NetBeans 10.0 で修正。
[SECURITY] New security advisory for CVE-2018-11788 released for Apache Karaf (oss-sec ML, 2019.01.06)。4.1.7 / 4.2.2 で修正。
[SECURITY] CVE-2018-11798 Announcement (oss-sec ML, 2019.01.07)。0.12.0 で修正。
[SECURITY] CVE-2018-1320 Announcement (oss-sec ML, 2019.01.07)。0.12.0 で修正。
Dokan (ウィキペディア)
JVNVU#97284298 - ファイルシステムドライバ Dokan におけるスタックバッファオーバーフローの脆弱性 (JVN, 2018.12.21)。オリジナル Dokan ではなく、派生プロジェクトである Dokany の欠陥。Dokany 1.2.1.1000 で修正。
》 クイーンのギタリスト、ブライアン・メイさんも協力呼び掛け 県民投票までの名護市辺野古埋め立て工事の中止を求めるホワイトハウス請願署名 (琉球新報, 1/7)
URGENT !!! URGENT !!! PLEASE SIGN THIS PETITION to save a beautiful coral reef and irreplaceable eco-system, threatened by USA extending an airbase. Bri https://t.co/CyXjTbObeu
— Dr. Brian May (@DrBrianMay) January 6, 2019
URGENT ! Last chance to sign a petition to stop the destruction of an irreplaceable coral reef in Okinawa.… https://t.co/Z6HQocbTF8
— Dr. Brian May (@DrBrianMay) January 6, 2019
やり方: 3ステップでOK 米ホワイトハウスへの嘆願、署名のやり方は? (沖縄タイムス)
》 「平和統一」か「武力統一」か:習近平「台湾同胞に告ぐ書」40周年記念講話 (遠藤誉 / ニューズウィーク日本版, 1/6)
1月2日、習近平は「台湾同胞に告ぐ書」発表40周年記念で講話し、2020年の台湾総統選に向けて「一国二制度」による平和統一を選択しない限り、武力統一もあり得ると脅した。1,2年以内に何かが起きるだろう。
この習近平の巨大な野望と決意に対して、日本はどのように対処しているのか?
昨年10月の安倍首相公式訪中に関して筆者が盛んに批判的言説を展開したのは、安倍首相が習近平に「四つの政治文書の原則」を守り「(中国への)協力を強化します」と誓ったからだ。これは即ち「私は喜んで台湾を捨てます」と誓ったことに等しい。なぜなら「四つの政治文書」には共通して「一つの中国」原則(中華民国は存在しないという原則)が明示してある。また「中国に協力する」と誓ったことは、言論弾圧をする中国を認めますと誓ったことにもなる。
中国(大陸側)は今年から、徹底した「餌」を平和統一派である台湾の国民党側と選挙民である台湾国民にばらまき続けるだろうことを、日本は認識しなければならない。
》 Huawei総裁はなぜ100人リストから排除されたのか? (遠藤誉 / Yahoo, 2018.12.30)。Huawei は国家ではなく人民の企業なのだという話。
ZTEがアメリカの制裁を受けたことに関して、ネットには「ざまあ、見ろ!」という言葉に相当した中国語(活該!)の書き込みはあっても、それに抵抗を示す若者は一人もいなかった。しかし今般、Huaweiの孟晩舟が拘束されると、中国の若者の間ではアップルのiPhoneを破壊したり、Huaweiのロゴを掲げたりなどして、アメリカに抵抗を示す若者の姿が見受けられた。別に孟晩舟を応援しているわけではなく、国有企業ZTEから長いこと嫌がらせを受けて勝ち残ってきたHuaweiに対する一般庶民や若者の心情は、中国政府への抵抗につながる何かを体現しているように見える。特にHuaweiを潰そうとした国務院総理が、天安門事件で若者に銃口を向けた、あの李鵬であることを考えると、なおさらだろう。天安門事件への憤りは庶民の間から消えたわけではない。
》 今季は、キャップ依存性エンドヌクレアーゼ阻害薬「ゾフルーザ」の処方が広がりそう?
インフルエンザの新薬ゾフルーザは“早く楽になる” (日経 Gooday, 2018.12.25)
「まず作用機序(メカニズム)が、これまでの薬と全く違います。これまでのインフルエンザ治療薬は、ノイラミニダーゼ阻害薬と呼ばれる種類の薬で、感染した人の細胞の中で増殖したインフルエンザウイルスが、他の細胞に広がるのを抑える作用がありました。一方、ゾフルーザには、ウイルスの増殖そのものを抑える働きがあります」(廣津氏)。
ゾフルーザ採用見送り (亀田メディカルセンター|亀田総合病院 感染症科, 2018.11.11)
ウイルスの排泄がday 2-3がタミフルより少ない状態となることが利点とされていますが、本当にそれによって感染性が落ちることは示されていません(飛沫予防策の期間は変わりません)。また、インフルエンザウイルスA/H3N2で、治療中に約10%が耐性化する可能性が指摘されており、その場合、ウイルス排泄はタミフル群より多いため、むしろそのような株が大勢を占めた場合、感染伝播拡大の危険性もあります。また、コストは、4789円(40mg)で、タミフルの2720円(5日分)の1.76倍です。タミフルのジェネリックはさらに安く1360円(ゾフルーザはこれの3.52倍)となっており、もし1000万人を治療するとした場合、タミフルのジェネリックとゾフルーザを比較すると、前者のほうが342億9000万円もお安くなります。また、将来的に、タミフル耐性ウイルスがでた場合の治療薬となる可能性もあり、今から使用して、耐性ウイルスを増やしてしまってもよいのか、という問題もあります。
新インフルエンザ薬ゾフルーザ外来処方開始!嘔吐した場合の対処法は (認知症専門医・長谷川嘉哉【土岐内科クリニック】のブログ, 2018.12.18)。「1回で済む」タイプの薬は、その1回の服用に失敗するとめんどうなことになるんですよね。 実際、めんどうなことをイナビルで体験したので、できれば避けたいです。
》 落合陽一は反省表明したが…古市憲寿と落合が「高齢者終末医療カット」言い逃れでさらに露呈した無知と無自覚 (リテラ, 1/6)、 落合陽一氏、古市憲寿氏、荻上チキ氏の議論(終末期医療などをめぐって)~2019年1月※3日現在、議論継続中 (togetter)、 「死ぬ前1か月の医療費さえ削ればよい」落合陽一氏×古市憲寿氏対談で見えた終末期医療の議論の難しさ (市川衛 / Yahoo, 1/4)
》 放送局、テレビ視聴データ収集 ネット通じ、拒否可能 (共同, 1/6)。「民放キー5局は21日から15日間、どの番組が見られているか、関東地区のテレビ数百万台の膨大なデータを試験的に初めて共有化する」。 拒否したい人は、たとえばこういうのでいいのかな:
テレビでの、視聴履歴取得の許諾をキャンセルするには?キャンセル後に、再びサービスを利用したい場合は? (レグザクラウドサービス)
機器ごとに、そういう設定項目があるはず?
》 立憲が国民投票の「スポットCMの全面禁止」検討 (毎日 / Yahoo, 1/6)
》 ベネッセ情報流出、1人3300円賠償命令 東京地裁判決 (日経, 2018.12.27)。シンフォームについて、「弁護士費用300円と合わせ、1人当たり3300円の損害賠償」。
ベネッセについては派遣社員がスマートフォンを使ってデータを転送した方法について予見可能性はなく、指揮監督関係もないとして賠償は命じなかった。
》 「データ復旧率90%以上」を疑え、社名変えながら荒稼ぎする悪質業者をデータ復旧業界歴23年の本田氏が指摘 (Internet Watch, 2018.12.28)。 悪質企業は確かに存在するようで。 日本データ復旧協会 (DRAJ) の会員企業であれば、 一定の水準にあると言えるのかな。
「一部の悪質な事業者」に関する注意喚起について (日本データ復旧協会, 2018.10.18)
そのような不誠実な対応やお客様が一方的に不利になるような契約は、日本データ復旧協会加盟の会員企業では一切行っておりません。また、苦情が集中している悪質な事業者も当協会の会員ではございません。
もし被害を受けられた場合は、被害金額の大小に関わらず、独立行政法人国民生活センター(全国の消費生活センター)、ならびに消費者庁等へご相談くださいますようお願いいたします。
データ復旧サービス利用に関するトラブルの相談はこちら (日本データ復旧協会, 2018.12.13)
》
新元号アップデートでExcel 2010が起動しない不具合、Microsoftが削除を呼び掛け
(やじうま Watch, 1/7)。KB4461627
の件。This update is no longer available
だそうで。
Prenotification Security Advisory for Adobe Acrobat and Reader | APSB19-02 (2018.12.28)
出てます: Security Bulletin for Adobe Acrobat and Reader | APSB19-02 (Adobe, 2019.01.03)。Zero Day Initiative からの 2 件を修正。
| 種別 | 更新版 |
|---|---|
| Acrobat DC / Acrobat Reader DC (Continuous Track) | 2019.010.20069 |
| Acrobat 2017 / Acrobat Reader DC 2017 (Classic 2017) | 2017.011.30113 |
| Acrobat DC / Acrobat Reader DC (Classic 2015) | 2015.006.30464 |
関連:
Adobe Acrobat Pro DC Preflight setDefaultLibrary Use-After-Free Remote Code Execution Vulnerability (ZDI, 2019.01.04)。CVE-2018-16011
Adobe Reader DC JavaScript Read-Only Variables Arbitrary Overwrite Restrictions Bypass Vulnerability
(ZDI, 2019.01.04)。
CVE-2018-19725
となっているが、APSB19-02 によると、
CVE-2018-19725 has been replaced with CVE-2018-16018
だそうだ。
過去の記事: 2019 | 2018 | 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998
![[セキュリティホール memo]](/~kjm/security/memo/memologo-s.png)