![[SCAN Security Wire NP Prize 2001]](/~kjm/security/memo/scan_prize.gif){kind=small}
「Scan Security Wire」 主催の SCAN Security Wire NP Prize 2001 を受賞しました。
「ネットランナー」の ベスト・オブ・常習者サイト 2003 で金賞を、ベスト・オブ・常習者サイト 2004 で銀賞を受賞しました。
Last modified: Fri Jul 23 20:26:31 2021
+0900 (JST)
短縮 URL: http://goo.gl/pwSG QR コード:
http://goo.gl/pwSG.qr
Security Watch さんが店じまいされてしまったので、 個人で追いかけてみるテストです。 備忘録として書いておくつもりなので、 Security Watch さんのような詳細なものではありません。 基本的なターゲットは UNIX、Windows、Mac OS (priority 順) とします。 また、このページの内容はどのページにも増して無保証であることを宣言しておきます。全ての情報が集まっているわけもありません。
ここに載せる情報については、可能な限り 1 次情報源へのリンクを作成しておきます。 各自で 1 次情報源の内容を確認してください。 このページの内容をくれぐれも鵜飲みにしないように。 間違いを発見された方、記載されていない情報をご存知の方、ぜひおしえてください。よろしくお願いいたします。
このページの情報を利用される前に、注意書きをお読みください。
[ 定番情報源 ] 過去の記事: 2021 | 2020 | 2019 | 2018 | 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998
|
|
「Scan Security Wire」 主催の SCAN Security Wire NP Prize 2001 を受賞しました。 |
|
「ネットランナー」の ベスト・オブ・常習者サイト 2003 で金賞を、ベスト・オブ・常習者サイト 2004 で銀賞を受賞しました。 |
復刊リクエスト受付中:
ジェイムズ.F.ダニガン「 新・戦争のテクノロジー」(現在58票)
中山信弘「ソフトウェアの法的保護」 (現在112票) (オンデマンド購入可)
陸井三郎訳・編「ベトナム帰還兵の証言」 (現在109票)
林克明「カフカスの小さな国 チェチェン独立運動始末」 (現在175票)
田中徳祐「我ら降伏せず−サイパン玉砕戦の狂気と真実」 (復刊決定)
RSS に対応してみました。
小ネタは含まれていません。「政治ねたウゼェ」という人は RSS ベースで読むと幸せになれるでしょう (ウザくない人は こっちの RSS がよいかもしれません)。
RSS 1.0 ですので、あくまで RDF Site Summary です。
現在は Really Simple Syndication には対応していません。
今すぐ Really Simple Syndication がほしい人は、のいんさんによる
Web サイトの RSS を勝手に出力するプロジェクト
……のものがうまくいっていないようなので、
セキュmemoのRSS生成
をご利用ください。Tamo さん情報ありがとうございます。
System Status (edgedns.status.akamai.com)。現在は正常動作中。
世界規模のDNS障害が発生中 ~Akamaiを採用の企業に影響か(復旧済み) (窓の杜, 7/23)
「サイバー攻撃ではない」 大規模なアクセス障害に障害元の米Akamaiがコメント (ITmedia, 7/23)
》 米国で「修理する権利」を認める法律が可決、それでもメーカー側の反発は止まらない (WIRED, 7/23)。「全会一致で可決」。
》 ThinkPadなどのノートPCが一部のUSB PD ACアダプターで充電できない話 (HanpenBlog, 7/22)
3.3-11.0Vに加えて3.3-11.0Vよりも高い電圧のPPS PDOも通知されるとノートPC側がおかしくなって正常に充電できないっぽいです。(中略)
このように一部のACアダプターで正常に充電できないThinkPad Yoga 370とThinkPad L380ですが、Yoga 370にはTexas InstrumentsのTPS65982 (TPS65982DA) が、L380にはTPS65988 (TPS65988CE) がUSB PDコントローラーとして採用されています。分解して確認しました。
》 安倍前首相 オリンピック開会式への出席見送り 無観客など考慮 (NHK, 7/21)kk。この事態を引き起こした元凶が逃げの一手ですか。
》 絵本作家のぶみ氏、五輪文化プログラム辞退 言動に批判 (朝日, 7/20)。のぶみ氏の件はさすがに well known だろうと思うのだが、
組織委は取材に、「報道を通じて知り、本人に話を聞いて辞退となった。このまま今の役割を継続することはできないという趣旨だった」と説明した。
いやはや。
》 小山田氏関わるNHK番組、10年前にいじめ指摘も継続 (朝日, 7/21)
「デザインあ」は放送開始の2011年と17年に、視聴者からインタビューについて指摘があったという。11年にはスタッフが小山田さんの所属事務所関係者から「本人が重々反省している」といった説明を受け、当時はその説明を受け入れて放送を継続したという。
2017 年のはこちらの件 か。その前にも指摘があったがスルーしていたと。
》 その男、小林賢太郎 (東京五輪開閉会式ディレクター、元ラーメンズ)
「ユダヤ人大量惨殺ごっこ」五輪開会式ディレクターの小林賢太郎氏、芸人時代にホロコーストを笑いのネタに (高橋浩祐 / Yahoo, 7/22)。一発退場の奴。
今度は演出担当者「五輪潰れかねない」 開会式前日の衝撃 (毎日, 7/22)
組織委関係者は「ユダヤ系を含めて、多くの人にとって敏感な話」と指摘した上で、「この五輪が呪われているどころの話ではなく、これまでの準備が根本的に間違っていたのではないか。組織が肥大化しすぎて、演出の担当者チームの人選まで目が届かなくなっていた」と頭を抱える。
そうですね。これまでの準備が根本的に間違っていたんですね。
五輪開閉会式ディレクターの小林賢太郎氏を解任 組織委 (朝日, 7/22)
五輪開会式演出担当の小林賢太郎氏が解任、ラーメンズ時代のコント「ユダヤ人大量惨殺ごっこ」ネタで (Buzzap!, 7/22)
【速報】小林賢太郎さんを解任 五輪開会式の演出担当 ユダヤ人大量虐殺をやゆ (東京, 7/22)
また橋本氏は「明日の開会式をどのように行うかについては現在検討中であります。早急に結論を出したいと考えております」と語った。
ツイート
小林賢太郎のホロコーストのビデオ、実話BUNKAタブーが発掘して、それをJアノンの人が中山防衛副大臣に伝えて、「イスラエルと共にある」と言ってた彼がユダヤ人団体にご注進して、開会直前で解任という結果になったという経過なのね。悪いのは誰?
— 町山智浩 (@TomoMachi) July 22, 2021
Windows 10 バージョン 1809 以降における、 Security Accounts Manager (SAM) データベースを含むシステムファイル (%windir%\system32\config ディレクトリ) の ACL 設定に欠陥があり、local user による権限上昇を招く。
修正するには、管理者コマンドプロンプトから icacls %windir%\system32\config\*.* /inheritance:e を実行する。実行後さらに vssadmin delete shadows /for=c: /Quiet を実行し、VSS シャドウコピーを削除する (システムドライブが C: の場合)。 削除されたことを vssadmin list shadows で確認する。
Adobe から Photoshop / Audition / Character Animator / Prelude / Premiere Pro / After Effects / Media Encoder のセキュリティ更新が出ています。
Security updates available for Adobe Photoshop | APSB21-63
(Adobe, 2021.07.20)
Windows 版および macOS 版の
Photoshop 2020
21.2.9 以前 / 2021
22.4.2 に、任意のコードの実行を招くなどの 2 件のセキュリティ欠陥。
Photoshop 2020
21.2.10 / 2021
22.4.3 で修正されている。
Priority: 3
Security Updates Available for Adobe Audition | APSB21-62
(Adobe, 2021.07.20)
Windows 版
Adobe Audition
14.2 以前に、任意のコードの実行を招くセキュリティ欠陥。
Adobe Audition
14.4
で修正されている。
Priority: 3
Security Updates Available for Adobe Character Animator | APSB21-59
(Adobe, 2021.07.20)
Windows 版
Character Animator 2020
4.2 以前に、任意のコードの実行を招くなどの 2 件のセキュリティ欠陥。
Character Animator 2020
4.4
で修正されている。
Priority: 3
Security Updates Available for Adobe Prelude | APSB21-58
(Adobe, 2021.07.20)
Windows 版
Adobe Prelude
10.0 以前に、任意のコードの実行を招く 2 件のセキュリティ欠陥。
Adobe Prelude
10.1 で修正されている。
Priority: 3
Security Updates Available for Adobe Premiere Pro | APSB21-56
(Adobe, 2021.07.20)
Windows 版
Adobe Premiere Pro
15.2 以前に、任意のコードの実行を招くセキュリティ欠陥。
Adobe Premiere Pro
15.4
で修正されている。
Priority: 3
Security Updates Available for Adobe After Effects | APSB21-54
(Adobe, 2021.07.20)
Windows 版
Adobe After Effects
18.2.1 以前に、任意のコードの実行を招くなどの 7 件のセキュリティ欠陥。
Adobe After Effects
18.4 で修正されている。
Priority: 3
Security Updates Available for Adobe Media Encoder | APSB21-43
(Adobe, 2021.07.20)
Windows 版
Adobe Media Encoder
15.2 以前に、任意のコードの実行を招くなどの 6 件のセキュリティ欠陥。
Adobe Media Encoder
15.4
で修正されている。
Priority: 3
出てます。
About the security content of iOS 14.7 and iPadOS 14.7 (Apple, 2021.07.19)
About the security content of tvOS 14.7 (Apple, 2021.07.19)
About the security content of watchOS 7.6 (Apple, 2021.07.19)
macOS 方面
About the security content of macOS Big Sur 11.5 (Apple, 2021.07.21)
About the security content of Security Update 2021-004 Catalina (Apple, 2021.07.21)
About the security content of Security Update 2021-005 Mojave (Apple, 2021.07.21)
About the security content of Safari 14.1.2 (Apple, 2021.07.19)
Oracle Critical Patch Update Advisory - July 2021 (2021.07.21)
関連:
JDK 16 はまだ 16.0.1 みたい。
Amazon Corretto
》 極超音速ミサイルの試射を成功させたロシア、アメリカを威嚇 (ニューズウィーク日本版, 7/21)、 3M22 Zircon (Wikipedia)。 3M22 Tsirkon。 Zircon で検索すると宝石とか金属探知機が出てくる。
》 WHO、武漢ウイルス研究所流出説の排除の圧力認める…姿勢一転、中国で再調査の方針、追及強める (藤和彦 / Business Journal, 7/19)
》 令和1(わ)1181 著作権法違反,組織的な犯罪の処罰及び犯罪収益の規制等に関する法律違反被告事件 (裁判所, 6/2)。漫画村事件の判決文。
》 「接種したら無期限の自宅待機」タマホーム社長が社員に“ワクチン禁止令” (文春オンライン, 7/19)。結局ウワサは本当だったんかい。 関連:
リアルタイム株価: タマホーム(株) (Yahoo! JAPAN ファイナンス)
ツイート
速報
— でんぱやくざ (@denpa893) July 20, 2021
タマホーム本社ビルにau5Gの3.7GHz(n78)が3セクタ設置させてるのを確認 pic.twitter.com/vyxpM7jJIq
》 Stopping FTP support in Firefox 90 (Mozilla Security Blog, 7/20)
》 Zoomはどのようにエンドツーエンド暗号化へ移行したか (Kaspersky, 7/20)
》 情報セキュリティ安心相談窓口の相談状況[2021年第2四半期(4月~6月)] (IPA, 7/20)
》 情報セキュリティ白書2021 <7月30日発売開始> (IPA, 7/20)。PDF 版も 7/30 公開だそうです。
JVNVU#96708815 - Intel製BIOSのテスト設計機能に権限昇格の脆弱性 (JVN, 2021.07.16)。BIOS の更新で対応。
JVN#86026700 - GroupSession における複数の脆弱性 (JVN, 2021.07.19)。GroupSession 5.1.0 で修正。
CVE-2021-3438: 16 Years In Hiding - Millions of Printers Worldwide Vulnerable (SentinelLABS, 2021.07.20)。発見者による解説。 CVE-2021-3438
Certain HP LaserJet products and Samsung product print driver software - Escalation of privilege (HP, 2021.07.20 更新)。patch あり。
Mini Bulletin XRX21K Xerox B205/B210/B215 XeroxPhaser®020/3052/3260/3320 Xerox WorkCentre®025/3215/3225/3315/3325 Driver Security Patch (Xerox, 2021.05.19)
Windowsの印刷スプーラーの脆弱性(CVE-2021-34527)に関する注意喚起 (2021.07.05)
プリントスプーラー関連で、さらに別の欠陥が発見されたそうです。
VU#131152 - Microsoft Windows Print Spooler Point and Print allows installation of arbitrary queue-specific files (US-CERT, 2021.07.18)。攻略共有プリンターに接続することで local SYSTEM 権限を取得できる。 既に PoC が公開されている。
回避するには、外向きの SMB 接続をブロックするか、 グループポリシー「ポイント アンド プリントの実装 - 許可されたサーバー」 を設定してポイント アンド プリント機能の接続先を制限する。
New Windows print spooler zero day exploitable via remote print servers (bleeping computer, 2021.07.18)
2021 年 7 月のセキュリティ更新プログラム (月例) (2021.07.14)
Windows Hello 顔認証を突破できる欠陥 CVE-2021-34466
Windows Hello のセキュリティ機能のバイパスの脆弱性 CVE-2021-34466 (Microsoft)。2021年7月の更新プログラムで対応。
研究者が明らかにした「Windows Hello」の顔認証をパイパスできる脆弱性 (CNET, 2021.07.20)
Bypassing Windows Hello Without Masks or Plastic Surgery (CyberArk, 2021.07.13)。発見者による解説。
This research reveals how a system, such as Windows Hello, that implicitly trusts input from peripheral devices can expose itself to inherent security weakness. This input, in some cases, can contain “public” data like a person’s face, which can raise security issues.
Our findings show that any USB device can be cloned, and any USB device can impersonate any other USB device. Identifying a USB device by a descriptor provided by the device is the main reason for this. The OS cannot validate such a device authenticity, at least not according to the USB specification.
We used the IR frames of a person to “bypass” the face recognition mechanism. We believe that those IR frames can be created out of regular color images.
We would suggest that anyone who might want to proceed with this research idea base their work on an automated process of transforming a color image to IR. This can be achieved in many ways, from automated filters to full-blown fancy ML algorithms.
Oracle 四半期定例 patch 出ました。 Java SE 16.0.2 / 11.0.12 / 8u301、VirtualBox 6.1.24 などが公開されています。
JDK 16.0.2 General-Availability Release (jdk.java.net)
Consolidated JDK 11 Release Notes (oracle)
| JRE Family Version | JRE Security Baseline (Full Version String) |
|---|---|
| 11 | 11.0.12+8 |
| 8 | 8u301-b09 |
| 7 | 7u311-b07 |
OpenJDK 11.0.12 Released (jdk-updates-dev ML, 2021.07.21)
Security fixes
- JDK-8256157: Improve bytecode assembly
- JDK-8256491: Better HTTP transport
- JDK-8258432, CVE-2021-2341: Improve file transfers
- JDK-8260453: Improve Font Bounding
- JDK-8260960: Signs of jarsigner signing
- JDK-8260967, CVE-2021-2369: Better jar file validation
- JDK-8262380: Enhance XML processing passes
- JDK-8262403: Enhanced data transfer
- JDK-8262410: Enhanced rules for zones
- JDK-8262477: Enhance String Conclusions
- JDK-8262967: Improve Zip file support
- JDK-8264066, CVE-2021-2388: Enhance compiler validation
- JDK-8264079: Improve abstractions
- JDK-8264460: Improve NTLM support
openjdk / jdk11u (GitHub)。jdk-11.0.12+7 = jdk-11.0.12-ga という理解でいいんだろうか。
VirtualBox 6.1.24 (released July 20 2021) (virtualbox.org, 2021.07.20)
関連:
JDK 16 はまだ 16.0.1 みたい。
Amazon Corretto
Chrome 92.0.4515.107 が stable に。35 件のセキュリティ修正を含む。
関連: 「Google Chrome 92」が正式公開 ~「Chrome Action」を拡充、サイト分離も強化 (窓の杜, 2021.07.21)
》 中国政府を背景に持つAPT40といわれるサイバー攻撃グループによるサイバー攻撃等について(外務報道官談話) (外務省, 7/19)。関連:
中国政府を背景に持つ APT40 といわれるサイバー攻撃グループによる サイバー攻撃等について(注意喚起) (警察庁, 7/19)
中国のハッカー攻撃を米欧日が非難、狙いは南シナ海の制海権と感染症情報 (ニューズウィーク日本版, 7/20)
Four Chinese Nationals Working with the Ministry of State Security Charged with Global Computer Intrusion Campaign Targeting Intellectual Property and Confidential Business Information, Including Infectious Disease Research (Department of Justice, 7/19)
The United States, Joined by Allies and Partners, Attributes Malicious Cyber Activity and Irresponsible State Behavior to the People’s Republic of China (White Hose, 7/19)
Alert (AA21-200A) Tactics, Techniques, and Procedures of Indicted APT40 Actors Associated with China’s MSS Hainan State Security Department (US-CERT, 7/19)
Alert (AA21-200B) Chinese State-Sponsored Cyber Operations: Observed TTPs (US-CERT, 7/19)
CHINESE CYBER THREAT OVERVIEW AND ACTIONS FOR LEADERS (US-CERT)
》 小山田圭吾さん 東京五輪作曲陣から辞任 大会組織委が正式発表 (NHK, 7/20)。辞任は 7/19。関連:
小山田圭吾さん、開会式楽曲担当の辞任を申し出「様々な方への配慮に欠けていたと痛感」【声明全文】 (ハフポスト, 7/19)
NHK、小山田氏が関わるEテレの2教育番組を差し替え (朝日, 7/20)。今さら? NHK は、小山田氏がそういうことをした人だとわかった上で続投させていたんじゃなかったんですか?
小山田圭吾さん“いじめ”発言で 障害者の家族団体が声明発表 (NHK, 7/19)。「全国手をつなぐ育成会連合会」。
出版社方面の謝罪
小山田圭吾さんの「いじめ記事」掲載した太田出版が謝罪。「差別を助長する不適切なもの」(声明全文) (ハフポスト, 7/19)。『クイック・ジャパン』出版元。
小山田圭吾さんの“いじめ自慢”記事は「間違った行為」。ロッキング・オン・ジャパン編集長が謝罪【声明全文】 (ハフポスト, 7/18)
開会式楽曲の小山田圭吾“障害者いじめ自慢”、五輪憲章に違反…障害者スポーツ協会幹部が憤慨 (Business Journal, 7/16)
小山田圭吾が謝罪「深い後悔と責任を感じております」 いじめ告白記事への批判受け【コメント全文】 (オリコンニュース / Yahoo, 7/16)
(追記あり)小山田圭吾はなぜイジメ記事問題を無視し続けるのか (はてな匿名ダイアリー, 7/16)
小山田圭吾における人間の研究 (孤立無援のブログ, 2006.11.15)
関連:
“いじめ自慢”小山田圭吾を抜擢したオリパラ組織委 東京五輪開催の“意義”は「お・も・て・な・し」に尽きる…? (プチ鹿島 / 文春オンライン, 7/20)
小山田圭吾炎上騒動に学ぶ、企業担当者が「ブラック著名人」とのコラボを避ける方法 (ITmedia, 7/20)
小山田氏問題。どこまで「いじめ」の内容を報じているか。国内と海外メディア、二つの断絶とは。 (今井佐緒里 / Yahoo, 7/19)
東京五輪・文化企画「のぶみ氏」自著で“教員いじめ自慢”…先天性疾患ある子供に関する発言が問題視 (Business Journal, 7/20)
Chrome 91.0.4472.164 公開。8 件のセキュリティ修正を含む。内 CVE-2021-30563 (High, $TBD) は 0-day。
》 (発表)ワクチン接種の開始時期について (龍谷大学, 7/7)。「本法人で接種を開始できる時期は、8月9日(月)以降になる旨の見通しが示されました」。夏休みに入っちゃうじゃん。
》 海自と英空母打撃群、アデン湾で初の共同訓練 今後も戦略的に実施 (毎日, 7/13)、 Counterpiracy Exercise with CSG21 (防衛省, 7/13)。アデン湾に派遣中の「せとぎり」と、CSG21 の HMS クイーン・エリザベス、USS ザ・サリヴァンズ、HMNLS エヴァーツェンが海賊対処演習を実施。4 か国合同演習ですね。
》 インドネシア、イタリアとフリゲート艦の調達契約 (日経, 6/11)。フィンカンティエリ FREMM x 6 + マエストラーレ級フリゲート x 2。 関連:
イタリア企業が勝利、米海軍が次期フリゲート艦「FFG(X)」にFREMM採用を発表 (航空万能論, 5/1)。米海軍 FFG(X) もフィンカンティエリ FREMM だそうで。
現地メディアも驚くインドネシアのカルロ・ベルガミーニ級フリゲート購入、米海軍調達が決定打か (航空万能論, 6/11)
「日本の軍艦輸出しよう」…なぜ全然売れない? 性能だけでは× 鶏肉買って輸出した国も (竹内 修 / 乗りものニュース, 6/16)
》 韓国海軍の軽空母受注に英伊企業が関与、現代重にバブコックが大宇にフィンカンティエリが協力 (航空万能論, 6/11)。韓国海軍軽空母 CVX の件。
》 「超微量の新型コロナウイルスを含み生涯にわたる免疫を獲得できる丸薬」を販売したホメオパシー療法医を逮捕、ワクチン接種証明書の偽造も (gigazine, 7/16)
》 これは政治的事件である――立憲民主党の本多議員をめぐる調査報告書の問題について (三春充希(はる) / note, 7/19)
この報告書からただちに明らかなのは、検証すべき事実関係が執筆者の持論と切り分けられておらず、肝心の事実関係に関しても正確な記述を欠いていることです。これは論理的に飛躍のある箇所が含まれる点にとどまらず、多数の主語の欠落や文章の破綻にまで至っており、本件の調査報告のずさんさがうかがわれると言わざるを得ません。 (中略) この報告書そのものがまさにハラスメントの性格を帯びた不公正なものであることがうかがわれ、このような文章を公党が発表したことには驚きを禁じえないと言うほかにありません。
》 アデン湾派遣の韓国海軍駆逐艦「文武大王」で新型コロナ集団感染発生
文武大王 (駆逐艦) (ウィキペディア)
韓国軍の海外派遣部隊 301人のうち247人がコロナ感染 (聯合ニュース, 7/19)
韓国海軍「清海部隊」、乗組員の「82%が感染」…あす韓国に到着予定 (WOW! Korea / Yahoo, 7/19)。KC-330 2 機を派遣。
集団感染出た韓国海軍「清海部隊」、早期帰国へ18日に軍輸送機出発 (WOW! Korea / Yahoo, 7/19)
清海部隊“集団感染”確認…「不適切な診断検査が被害を拡大」 (ハンギョレ, 7/18)
集団感染出た韓国海軍「清海部隊」、アデン湾から空軍輸送機で早期帰国へ (ハンギョレ, 7/17)
言葉だけの「アデン湾の英雄」…将兵のワクチン、韓国には一つもなかった (中央日報, 7/16)。 自衛隊はどうなってるんだっけ? と思ってぐぐったら、 自衛隊の職場接種始まる 20万人超、終了時期は未定 (SankeiBiz, 6/29)、五輪支援の自衛隊員、進まぬワクチン接種 職場接種の遅れ影響 (産経, 7/18) だそうで。
防衛省・自衛隊全体のワクチン接種は思うようには進んでいない。今月9日時点で対象者約25万人のうち、1回目の接種終了が約5万人、2回目の接種終了が約2万人で、全体の3割に届いていない。
》 メルカリ、五輪ボランティアのユニフォームなど出品禁止に (ITmedia, 7/16)
2021 年 7 月のセキュリティ更新プログラム (月例) (2021.07.14)
Protecting customers from a private-sector offensive actor using 0-day exploits and DevilsTongue malware (Microsoft Threat Intelligence Center (MSTIC), 2021.07.15)。Candiru 社の件。
The Microsoft Threat Intelligence Center (MSTIC) alongside the Microsoft Security Response Center (MSRC) has uncovered a private-sector offensive actor, or PSOA, that we are calling SOURGUM in possession of now-patched, Windows 0-day exploits (CVE-2021-31979 and CVE-2021-33771).
》 Appleのプライバシー強化でFacebookと広告主がパニックに、実際のインパクトはどれほどだったのか? (gigazine, 7/16)
広告代理店・Homestead StudioのメディアバイヤーであるZach Stuck氏も、以前はFacebookが報告する売上と実際にShopify上で記録された売上のギャップが5%だったのに対し、ATTの導入によって40%以上に広がったと報告しています。
》 Taking Action Against Hackers in Iran (Facebook, 7/15)
》 Windowsのゼロデイ脆弱性を突くマルウェア「DevilsTongue」をイスラエルの民間企業が開発した可能性があるとMicrosoftが発表 (gigazine, 7/16)。Microsoft の他、Citizen Lab も発表。Candiru 社。
Fighting cyberweapons built by private businesses (Microsoft, 7/15)
Protecting customers from a private-sector offensive actor using 0-day exploits and DevilsTongue malware (Microsoft Threat Intelligence Center, 7/15)
Hooking Candiru - Another Mercenary Spyware Vendor Comes into Focus (Citizen Lab, 7/15)
》 Googleが「ロシア政府系ハッカーがiOSのゼロデイ脆弱性を突いてヨーロッパの政府関係者を攻撃していた」と報告 (gigazine, 7/15)
》 ワクチン接種予約、7割が停止・制限 主要都市調査 【イブニングスクープ】 (日経, 7/15)。「停止・制限しない」は 13% しかない。
》 偽装免震ゴム使用のタワマン解体へ 発覚後は交換と説明…住民「唐突」 (西日本新聞, 7/16)。カスタリア大濠ベイタワー。
大和ハウスリート投資法人がカスタリア大濠ベイタワーを売却、業績予想を修正 (不動産投資情報ポータル, 6/30)。売却先は非開示。
国内不動産信託受益権の譲渡に関するお知らせ (大和ハウスリート投資法人, 6/30)
本投資法人は、本譲渡に伴う想定帳簿価格を約56.8%上回る価格で本譲渡を実施する予定です。2022 年2 月期は、不動産等売却益の一部を活用し、翌期以降に計画している保有物件の修繕工事の一部を戦略的に前倒し実施することで、将来の修繕費を圧縮しポートフォリオのNOI の安定化を図ります。
本譲渡の手取金については、売却益を投資主に分配金として還元するほか、残金は、今後の物件の取得資金等に充当するため、手元資金とする予定です。
福岡市タワマン解体はどこ?名前,場所特定!家賃は?偽装免振ゴム使用で入居者どうなる? (話題のニュース, 7/16)
【解体】福岡市のタワマン『カスタリア大濠ベイタワー』解体へ免震ゴム偽装物件大規模修繕工事の時期が迫っていた (まとめダネ!, 7/16)
第20期(平成28年2月期)決算・運用状況のご報告(資産運用報告) (大和ハウス・レジデンシャル投資法人, 2016.05.16)。 「東洋ゴム工業株式会社の免震材料偽装」についても記載されている。
投資法人は、東洋ゴムに対して不適合免震材料の交換に向けたスケジュール及び工期等を確認し、 早期解決に向けて努力していきます。
よくわからないのだが、清算 (解体) 会社に売却、ということなんだろうか。 しかし「修繕工事を前倒しで行い」とか書かれているしなあ。
》 老舗セキュリティソフト「ノートン」開発元が8800億円以上で「Avast」を買収か (gigazine, 7/15)。人生いろいろ、セキュリティ業界もいろいろ。
Cloudflare cdnjs のライブラリ更新用サーバーにセキュリティ欠陥。 自動更新機能におけるアーカイブファイルのパスの扱いに欠陥があり、 任意のファイルを上書きでき、これを利用して任意のコードを実行できる。
cdnjs はこのように説明されているサイト:
cdnjs is a free and open-source CDN service trusted by over 12.5% of all websites, serving over 200 billion requests each month, powered by Cloudflare.
うひー。現在は修正されているそうです。
2021 年 7 月のセキュリティ更新プログラム (月例) (2021.07.14)
Microsoft July 2021 Patch Tuesday fixes 9 zero-days, 117 flaws (bleepingcomputer, 2021.07.13)
Microsoft classifies a zero-day vulnerability as publicly disclosed or actively exploited with no official security updates or released.
The five publicly disclosed, but not exploited, zero-day vulnerabilities are:
- CVE-2021-34492 - Windows Certificate Spoofing Vulnerability
- CVE-2021-34523 - Microsoft Exchange Server Elevation of Privilege Vulnerability
- CVE-2021-34473 - Microsoft Exchange Server Remote Code Execution Vulnerability
- CVE-2021-33779 - Windows ADFS Security Feature Bypass Vulnerability
- CVE-2021-33781 - Active Directory Security Feature Bypass Vulnerability
There was one publicly disclosed and actively exploited vulnerability known as PrintNightmare.
- CVE-2021-34527 - Windows Print Spooler Remote Code Execution Vulnerability
Finally, there are three actively exploited Windows vulnerabilities that were not publicly disclosed.
- CVE-2021-33771 - Windows Kernel Elevation of Privilege Vulnerability
- CVE-2021-34448 - Scripting Engine Memory Corruption Vulnerability
- CVE-2021-31979 - Windows Kernel Elevation of Privilege Vulnerability
最後の 3 つはこちら:
2021 年 6 月のセキュリティ更新プログラム (月例) (2021.06.11)
Googleが「ロシア政府系ハッカーがiOSのゼロデイ脆弱性を突いてヨーロッパの政府関係者を攻撃していた」と報告 (gigazine, 2021.07.15)。 CVE-2021-33742 の件。
Chrome Stable Channel Update for Desktop (2021.06.11)
Googleが「ロシア政府系ハッカーがiOSのゼロデイ脆弱性を突いてヨーロッパの政府関係者を攻撃していた」と報告 (gigazine, 2021.07.15)。 CVE-2021-30551 の件。
Chrome Stable Channel Update for Desktop (2021.03.11)
Googleが「ロシア政府系ハッカーがiOSのゼロデイ脆弱性を突いてヨーロッパの政府関係者を攻撃していた」と報告 (gigazine, 2021.07.15)。 CVE-2021-21166 の件。
Apple 方面 (iOS, iPadOS, watchOS) (2021.03.29)
Googleが「ロシア政府系ハッカーがiOSのゼロデイ脆弱性を突いてヨーロッパの政府関係者を攻撃していた」と報告 (gigazine, 2021.07.15)。 CVE-2021-1879 の件。
Windowsの印刷スプーラーの脆弱性(CVE-2021-34527)に関する注意喚起 (2021.07.05)
local からの権限上昇については別の CVE 番号が振られたそうです: Windows Print Spooler Elevation of Privilege Vulnerability CVE-2021-34481 (Microsoft)。 未修正です。 プリントスプーラーを停止・無効とすることで回避できます。
》 コロナワクチン接種で血栓、アミノ酸が関与 新研究 (Wall Street Journal, 7/8)
》 「Google Glass」法人向けモデルが日本でも 17万8000円で8月発売 (ITmedia, 7/15)
OSにはAndroid 8.1を採用し、搭載する800万画素のカメラで外部に映像を送信できる他、ビデオ会議ツール「meet」も使えるという。 ディスプレイ解像度は640×360ピクセル。
時代遅れ感がすごいな。 HoloLens 2 がもうちょっと安くなってくれれば……。
This video shows what the battlefield looks like through the US Army's new night vision goggles (Business Insider, 4/28) とか Watch how the Army is using augmented reality with night-vision goggles (Washington Post / YouTube, 5/25) とか見ると、米陸軍の新しい暗視ゴーグル ENVG-B では輪郭強調とか方位表示の機能があるようで。 米陸軍はさらに HoloLens 2 ベースの AR 技術 Integrated Visual Augmentation System (IVAS) を導入するそうで、戦場がいよいよ FPS じみてくる模様。
U.S. Army to use HoloLens technology in high-tech headsets for soldiers (Microsoft, 6/8)
Under the new contract, which could be worth up to $21.88 billion, Microsoft will initially produce more than 120,000 headsets for soldiers at a Silicon Valley manufacturing facility. The five-year agreement can be extended for another five years. The devices will first be used by soldiers on foot, and the Army is also conducting experiments with using IVAS in military vehicles so soldiers can see what’s around them before stepping outside.
》 「SQL Server 2012」は来年7月12日でサポート終了 ~移行猶予が必要な組織には有償延長サポートを提供へ (窓の杜, 7/15)。あと 1 年。
タイムゾーン呪いの書 (知識編) (Zenn, 7/2)
開発中のソフトウェアやサービスからタイムゾーン略称入りのデータが出力されるようになっていたら、できるかぎり即座にやめましょう。代わりに +09:00 などのオフセットや、地域ベースの Asia/Tokyo などの tzdb ID を使いましょう。オフセットと地域ベースのどちらがいいのかはこのあと「実装編」などで検討しますが、いずれにせよ略称はダメです。互換性などの理由でどうしても略称をやめられない場合は、これもすべて仕様として明文化しましょう。
昔から Unix-like な環境をさわっている人としては、つい「TZ に設定するのは JST-9 だ」という気がしてしまうのですが、少なくとも現在では TZ=Asia/Tokyo などと tzdb ID を直接 TZ に設定できるし、そうすることが多いようです。
タイムゾーン呪いの書 (実装編) (Zenn, 7/2)
地域ベースのタイムゾーンだけではなくオフセットまで確定して「Unix time に変換可能」な形式にすれば、または UTC に変換して Unix time そのものにできれば、タイムゾーンの呪いはかなり軽減できるでしょう。 Unix time に変換可能ということは、世界共通の時間軸上の位置が確定しているということで、その時刻データをあいまいさのない絶対時刻にできているということです。
とはいえこれから検討してくように、「Unix time に変換可能」な形式は、常にベストとはかぎりません。「時刻はとりあえず UTC に変換しておけ」とはよくいわれますが、それは間違ったベスト・プラクティスです。
タイムゾーン呪いの書 (Java 編) (Zenn, 7/2)
》 悪事暴いても「裏切り者」内部告発の悲しい現実 「ゴキブリ」「ウジ虫」罵詈雑言を浴びせられた (東洋経済, 2/16)。警察の裏金作りを告発した原田宏二氏にインタビュー。
読売新聞「千人計画」特集が覆い隠す日本の基礎科学の危機 (榎木英介 / Yahoo, 3/30)
このような事情を考えると、千人計画の採択の有無を問わず、中国へ渡る日本人研究者が増えている問題の本質は、「軍事応用を狙った高給引き抜きによる技術流出」ではなく、「中国が近年研究レベルを向上させる一方、日本では研究環境悪化が続き、基礎科学の人材が流出している」というところではないだろうか。
「発言捏造」で賞狙う?読売新聞「千人計画」特集を憂う (榎木英介 / Yahoo, 6/11)
安全保障が大切なのは言うまでもない。だが、それを懸念するあまり、実際にそういった懸念の対象から遠いケースの日本人研究者を無理やり記事の方向性にあてはめ、「事実誤認」「発言捏造」まがいのことをするのは、「社会の公器」である新聞社としてふさわしい行為だろうか。
「日本からの応募が増えました」読売「千人計画」バッシングが加速させる「人財」の中国流出 (榎木英介 / Yahoo, 7/5)
だが、読売新聞は一連の記事の中で、「千人計画には長期型と短期型がある」という基本分類や「採択者の大多数が中国人である」といったような千人計画の基本的事実を一切取り上げていない。さらには、アメリカでも二国間の給与の二重取り等や脱税等で問題になっている「短期型」の千人計画については、今後廃止される流れであることは、毎日新聞で報道されている。
千人計画、衣替え 技術力接近、続く対立
廃止されるものに対しての対策を盛んに訴えて何になるのだろうか。
》 ちょっと聞かせてください…!あなたがその指で「攻撃」に加わった理由 (NHK取材ノート / note, 5/28)。弁護士懲戒請求問題の件。
「コロナワクチン打った社員はクビ」 タマホーム、ネット投稿を「デマ」と否定 (弁護士ドットコムニュース, 7/15)
インターネット上における当社の新型コロナワクチン対応に関する誤った書き込みについて (タマホーム, 7/15)。「Microsoft Word - デマ打消しリリース_210715r2(Bパターン_1行追加ver.).docx」
当該一連の書き込みでは、当社が社員に対し「新型コロナワクチンを接種しないよう強要している」「新型コロナワクチンを接種した場合、懲戒解雇にすると発言している」といった内容が書かれておりますが、そのような事実は一切ございません。
新型コロナワクチンの接種につきましては、個人の判断に委ねております。
【本当か?デマか?】タマホーム、社長がワクチン接種禁止令を出したらしい…??? (togetter, 7/14)
ツイート
タマホームのワクチン反対デマで株価が下がって、デマだと分かって元に戻った。儲けた人もいるでしょうな。株価操作が簡単にできる世の中になったんですね。なんか怖。 pic.twitter.com/C5AT9joIgR
— ヒゲ (@hige_matsuge) July 15, 2021
》 町山智浩『ブラック・ウィドウ』を語る (miyearnZZ Labo, 7/13)。7/13 たまむすびの書きおこし。 アクション満載の女性映画になっている模様。
(町山智浩)(中略) 監督がケイト・ショートランドという女性なんですね。(中略) デビュー作から一貫してこの女性の洗脳とそこからの解放とか自立っていうのを描いてきた人なんで、すごくこの『ブラック・ウィドウ』っていうのは漫画が原作ではあるんですけど、非常に深い、それを超えた内容になっているんですね。 (中略) 女性監督による……脚本も女性がね、基本的なものを書いていまして。スカーレット・ヨハンソン自身がプロデューサーをやっていますから。すごくちゃんとした女性映画になっています。
(赤江珠緒)ああ、ちょっとイメージと違いました。へー!
(町山智浩)アベンジャーズに興味がない人もぜひ、ご覧ください。
》 女性もレイプカルチャーに加担してきてしまった、キャリー・マリガンが指摘する『プロミシング・ヤング・ウーマン』を見るべき理由 (FRONTROW, 4/23)。明日から公開。例によって滋賀では上映されません (泣)。
》 同じLED電球なのに300円と15,000円? 分解してわかった価格差の”裏側” (パーソル テクノロジースタッフ, 7/14)
》 読売新聞子会社でクレカ情報流出 すでに767万円の金銭的被害も確認 (ITmedia, 7/14)、 弊社が運営するオンラインショップ「よみファねっと」への不正アクセスによるクレジットカード情報流出に関するお詫びとお知らせ (読売情報開発大阪, 7/14)
》 仏政府、Googleに5億ユーロ(約650億円)の制裁金 記事スニペット表示関連で (ITmedia, 7/14)
》 「権限要求多すぎ」──セブン-イレブンのTwitterキャンペーンに批判相次ぐ→中止に なぜこうなったかは「確認中」 (ITmedia, 7/13)。結局中止ですか。
》 「Windows 365」はWebブラウザで使えるWindows 10/11 Microsoftが8月2日に提供開始 (ITmedia, 7/15)
料金はまだ発表されていないが、プランは大企業向けの「Windows 365 Enterprise」と中小企業向けの「Windows 365 Business」の2つになる見込み。
シスコ製品に影響を与えるBroadcom MediaxChangeの脆弱性:2021年7月 (Cisco, 2021.07.07)。Cisco IP Phone / Wireless IP Phone。
シスコのIP電話機に見つかった脆弱性は、1社だけで解決できる問題ではない (WIRED, 2021.07.12)
フリーの高機能パケット解析ツール「Wireshark」v3.4.7が公開 (窓の杜, 2021.07.15)。Wireshark 3.4.7 / 3.2.15 で wnpa-sec-2021-06 に対応。
》 Advancing email security for Gmail and beyond with BIMI (Google, 7/13)
After first announcing Gmail's Brand Indicators for Message Identification (BIMI) pilot last year, today we're announcing that over the coming weeks we’re rolling out Gmail's general support of BIMI, an industry standard that aims to drive adoption of strong sender authentication for the entire email ecosystem.
》 Armにとって劇的転換点となるWindows 11 (PC Watch, 7/13)。ARM 版 Windows、問題はかなり少なくなってきたものの、
だが、それでも依然として互換性の問題として残るソフトウエアが2つある。1つがサードパーティーのセキュリティーソフトウエアで、もう1つがATOKなどのサードパーティーIMEだ。 (中略) IMEもシステムと深く関わっている特殊なアプリなので、バイナリトランスレーションだけではArmネイティブアプリへの橋渡しができないのは容易に想像できるのだが、この問題はArm版Windowsが登場してから4年近く放置されている。それに対して、Apple M1を搭載したArm版のmacOSでは、IA用のATOKがそのままArmネイティブアプリで動作していたことと比較すると、なんとも残念な状況だとしか表現のしようがない。
》 JPRS及びHOTnet、QTnetがJP DNSサーバーのローカルノードを運用開始 (JPRS, 7/14)
》 緊急情報 異常なし(第1報)原子力施設への影響について (原子力規制委員会, 7/14)。近畿大学原子力研究所で「AL51事象(制御室での監視機能の喪失の恐れ)」。13:24 発生、14:13 解除。
》 インフラを狙うロシアのハッカー集団のウェブサイトが謎の消失 (gigazine, 7/14)。REvil。
》 中国のグレートファイアウォールは31万個以上のドメインをブロックしていると判明 (gigazine, 7/13)
》 1000万回分の新型コロナワクチンをTSMC&Foxconnが購入して台湾政府へ寄付したことを発表 (gigazine, 7/13)
》 Firefoxが通信暗号化システム「DNS over HTTPS」の対象地域拡大を発表、一体何が変わるのか? (gigazine, 7/9)。「カナダのユーザーに対しても有効化」。
》 中国政府が隠ぺいするウイグル強制収容所を衛星写真から発見する手法とは? (gigazine, 7/8)
》 Discordがネット上の有害コンテンツとハラスメントに真剣に取り組むためAIソフトウェアSentropyを買収 (techcrunch, 7/14)
》 マイクロソフトが脆弱性を検知するサイバーセキュリティ企業RiskIQを買収 (techcrunch, 7/13)
》 ECサイトのクロスサイトスクリプティング脆弱性を悪用した攻撃 (JPCERT/CC, 7/6)
JPCERT/CCで確認したインシデントでは、EC-CUBEを使用して構築されたECサイトにXSS脆弱性があったために、攻撃の被害にあっていました。なお、この攻撃は、EC-CUBE固有の脆弱性を狙ったものではなく、ECサイトの管理画面上にXSS脆弱性があった場合に影響があるため、EC-CUBEを使用していないECサイトでも攻撃の影響を受ける可能性があります。
Adobe から Dimension、Illustrator、Framemaker、Acrobat / Reader、Bridge のセキュリティ更新が公開されました。(あとで書く。多分)
忘れてた。
Security updates available for Dimension | APSB21-40
(Adobe, 2021.07.13)
Windows 版および macOS 版の
Adobe Dimension
3.4 以前に、任意のコードの実行を招くセキュリティ欠陥。
Adobe Dimension
3.4.3 で修正されている。
Priority: 3
Security Updates Available for Adobe Illustrator | APSB21-42
(Adobe, 2021.07.13)
Windows 版
Illustrator 2021
25.2.3 以前に、任意のコードの実行を招くなどの 7 件のセキュリティ欠陥。
Illustrator 2021
25.3 で修正されている。
Priority: 3
Security Updates Available for Adobe Framemaker | APSB21-45
(Adobe, 2021.07.13)
Windows 版
Adobe Framemaker
2019 Update 8 以前 / 2020 Release Update 1 以前に、任意のコードの実行を招くセキュリティ欠陥。
Framemaker
2019 Release Update 8
(hotfix) /
2020 Release Update 2
で修正されている。
Priority: 3
Security update available for Adobe Acrobat and Reader | APSB21-51
(Adobe, 2021.07.13)
Windows 版
および macOS 版の
Acrobat / Reader に任意のコードの実行を招くなどのセキュリティ欠陥 19 件。
以下のバージョンで修正されている。
| 種別 | 対応版 |
|---|---|
| Acrobat DC / Acrobat Reader DC (Continuous Track) | 2021.005.20058 |
| Acrobat 2020 / Acrobat Reader 2020 (Classic 2020) | 2020.004.30006 |
| Acrobat 2017 / Acrobat Reader 2017 (Classic 2017) | 2017.011.30199 |
Priority: 2
Security Updates Available for Adobe Bridge | APSB21-53
(Adobe, 2021.07.13)
Windows 版
Adobe Bridge
11.0.2 以前に、任意のコードの実行を招くなどのセキュリティ欠陥 5 件。
Adobe Bridge
11.1 で修正されている。
Priority: 3
月例出ました。 Windowsの印刷スプーラーの脆弱性(CVE-2021-34527) の修正はもちろん、 Flash Player 削除の更新プログラム KB4577586 も含むそうです。 2021 年 7 月のセキュリティ更新プログラム より:
- Common Internet File System
- Dynamics Business Central Control
- Microsoft Bing
- Microsoft Dynamics
- Microsoft Exchange Server
- Microsoft Graphics コンポーネント
- Microsoft Office
- Microsoft Office Excel
- Microsoft Office SharePoint
- Microsoft スクリプト エンジン
- Microsoft Windows Codecs Library
- Microsoft Windows DNS
- Microsoft Windows Media Foundation
- OpenEnclave
- Power BI
- ロール: DNS サーバー
- ロール: Hyper-V
- Visual Studio Code
- Visual Studio Code - .NET Runtime
- Visual Studio Code - Maven for Java 拡張機能
- Windows Active Directory
- Windows アドレス帳
- Windows AF_UNIX Socket Provider
- Windows AppContainer
- Windows AppX Deployment 拡張機能
- Windows Authenticode
- Windows Cloud Files Mini Filter Driver
- Windows コンソール ドライバー
- Windows Defender
- Windows Desktop Bridge
- Windows イベント トレーシング
- Windows File History Service
- Windows Hello
- Windows HTML プラットフォーム
- Windows インストーラー
- Windows カーネル
- Windows Key Distribution Center
- Windows Local Security Authority Subsystem Service
- Windows MSHTML プラットフォーム
- Windows Partition Management Driver
- Windows PFX 暗号化
- Windows 印刷スプーラー コンポーネント
- Windows Projected File System
- Windows Remote Access Connection Manager
- Windows リモート アシスタンス
- Windows 保護カーネル モード
- Windows Security Account Manager
- Windows シェル
- Windows SMB
- Windows Storage Spaces Controller
- Windows TCP/IP
- Windows Win32K
今回から、CVE-2020-17049 Kerberos KDC のセキュリティ機能のバイパスの脆弱性 への対応が「強制フェーズ」になるそうです。
2020 年 11 月の定例リリースにて公開した Kerberos KDC Security の脆弱性情報 CVE-2020-17049 への対応として、2021 年 7 月のセキュリティ更新プログラムを適用後は、セキュリティ修正に準拠していない Kerberos チケットは拒否する動作になります (強制モード フェーズ)。なお、PerformTicketSignature のレジストリで設定している値に関わらず、2021 年 7 月のセキュリティ更新プログラムを適用後は、セキュリティ修正に準拠していない Kerberos チケットは拒否する動作になります。この変更に関する詳細は、「Kerberos KDC の脆弱性 (CVE-2020-17049) に対応するためのガイダンス」をご参照ください。
FAQ 等がある奴一覧:
関連:
【Windows10】 WindowsUpdate 2021年7月 不具合情報 - セキュリティ更新プログラム KB5004237 (ニッチなPCゲーマーの環境構築Z, 2021.07.14)
【Windows8.1】 WindowsUpdate 2021年7月 注意事項と各KBメモと直リンク KB5004298 / KB5004258等 (ニッチなPCゲーマーの環境構築Z, 2021.07.14)
今日(7/14 JST)の Windows Update(2021-07 B) (山市良のえぬなんとかわーるど, 2021.07.14)
Microsoft July 2021 Patch Tuesday fixes 9 zero-days, 117 flaws (bleepingcomputer, 2021.07.13)
Microsoft classifies a zero-day vulnerability as publicly disclosed or actively exploited with no official security updates or released.
The five publicly disclosed, but not exploited, zero-day vulnerabilities are:
- CVE-2021-34492 - Windows Certificate Spoofing Vulnerability
- CVE-2021-34523 - Microsoft Exchange Server Elevation of Privilege Vulnerability
- CVE-2021-34473 - Microsoft Exchange Server Remote Code Execution Vulnerability
- CVE-2021-33779 - Windows ADFS Security Feature Bypass Vulnerability
- CVE-2021-33781 - Active Directory Security Feature Bypass Vulnerability
There was one publicly disclosed and actively exploited vulnerability known as PrintNightmare.
- CVE-2021-34527 - Windows Print Spooler Remote Code Execution Vulnerability
Finally, there are three actively exploited Windows vulnerabilities that were not publicly disclosed.
- CVE-2021-33771 - Windows Kernel Elevation of Privilege Vulnerability
- CVE-2021-34448 - Scripting Engine Memory Corruption Vulnerability
- CVE-2021-31979 - Windows Kernel Elevation of Privilege Vulnerability
最後の 3 つはこちら:
Protecting customers from a private-sector offensive actor using 0-day exploits and DevilsTongue malware (Microsoft Threat Intelligence Center (MSTIC), 2021.07.15)。Candiru 社の件。
The Microsoft Threat Intelligence Center (MSTIC) alongside the Microsoft Security Response Center (MSRC) has uncovered a private-sector offensive actor, or PSOA, that we are calling SOURGUM in possession of now-patched, Windows 0-day exploits (CVE-2021-31979 and CVE-2021-33771).
Windows Hello 顔認証を突破できる欠陥 CVE-2021-34466
Windows Hello のセキュリティ機能のバイパスの脆弱性 CVE-2021-34466 (Microsoft)。2021年7月の更新プログラムで対応。
研究者が明らかにした「Windows Hello」の顔認証をパイパスできる脆弱性 (CNET, 2021.07.20)
Bypassing Windows Hello Without Masks or Plastic Surgery (CyberArk, 2021.07.13)。発見者による解説。
This research reveals how a system, such as Windows Hello, that implicitly trusts input from peripheral devices can expose itself to inherent security weakness. This input, in some cases, can contain “public” data like a person’s face, which can raise security issues.
Our findings show that any USB device can be cloned, and any USB device can impersonate any other USB device. Identifying a USB device by a descriptor provided by the device is the main reason for this. The OS cannot validate such a device authenticity, at least not according to the USB specification.
We used the IR frames of a person to “bypass” the face recognition mechanism. We believe that those IR frames can be created out of regular color images.
We would suggest that anyone who might want to proceed with this research idea base their work on an automated process of transforming a color image to IR. This can be achieved in many ways, from automated filters to full-blown fancy ML algorithms.
CVE-2021-33037。 Tomcat 10.0.0-M1〜10.0.6 / 9.0.0.M1〜9.0.46 / 8.5.0〜8.5.66 にセキュリティ欠陥。HTTP transfer-encoding リクエストヘッダの処理に欠陥があり、 リバースプロキシとあわせて使用する場合に request smuggling が発生。 特に、クライアントが HTTP/1.0 しか受け付けないと宣言した場合に transfer encoding を正しく排除できない。
Tomcat 10.0.7 / 9.0.48 / 8.5.68 で修正されている。 なお、Tomcat 9.0.47 / 8.5.67 は欠番となっている。
「Go 1.16.6」「Go 1.15.14」が公開 ~1件の脆弱性を修正 crypto/tlsに不正な証明書でクライアントがパニックに陥る問題 (窓の杜, 2021.07.13)
出ました。
Firefox 90 がリリースされた (MozillaZine, 2021.07.14)
Firefox for Android 90 がリリースされた (MozillaZine, 2021.07.14)
Thunderbird 78.12.0 がリリースされた (MozillaZine, 2021.07.14)
》 みずほ銀行システム障害の原因にさらなる疑問、気になる「本件メモリ常駐」 (日経 xTECH, 7/13)。みずほの報告書、まだ読めてないんだよなあ。
なぜ、取消情報管理テーブルでは読み込んだインデックス全件をメモリー常駐化しているのか。その答えも報告書にある。「MINORI構築の終盤である2017年11月に定期性預金システムで実施される『おまとめ処理』における処理時限への影響懸念が判明し、この課題への対応策として『本件メモリ常駐』への仕様変更を決定した」。
(中略)
問題なのは、2017年11月の仕様変更により「これまでと異なるデータベース」に変わったのに、それに合わせた運用が不十分だった点だ。メモリー容量超過でエラーになるのだから、「インデックスの使用量の監視と、メモリー容量の空きが少なくなったときの運用手順を決めておき100%を超えないようにする必要がある」(石川CPO)。
しかしできていなかったと。
》 “反ワクチン”記事が「note」を起点に拡散。誤情報や陰謀論で影響力、運営側も問題視? (BuzzFeed, 7/13)
》 Drupal 8 end-of-life on November 2, 2021 (four months from now) - PSA-2021-2021-06-29 (Drupal, 6/29)
》 警察官「ライトはこういうのでいいんだよ」的なスタンダード。SUREFIRE G2X LE タクティカルフラッシュライト! (目指せ!ライトマニア AKARICENTER 懐中電灯レビュー, 6/30)。法執行機関向け。
一般の方におすすめするにあたり、一番心配なのは電池です。少し特殊な、CR123Aというカメラ用電池を使用します。フラッシュライトを趣味にしている人にはおなじみの電池なのですが、1本で400円程度します。その分、普通の単3乾電池の2倍以上の容量があり、備蓄可能期間が20年と長く、液漏れの心配がありません。最近のアルカリ電池も備蓄期間は延びているのですが、どうしても液漏れを回避できないようです。
CR123Aは一箱12本備蓄しておけば1週間程度は余裕でのりきれるかと思います。コンパクトで軽量なため、避難所などへの移動があっても負担は少ないかと思います。
》 NISC 「次期サイバーセキュリティ戦略(案)」と「サイバーセキュリティ2021(案)」に関する意見の募集について (まるちゃんの情報セキュリティ気まぐれ日記, 7/13)
》 多数の組織がランサムウエアに感染したサプライチェーン攻撃についてまとめてみた (piyolog, 7/12)。Kaseya VSA の件。
》 オープンソースのセキュリティスコア「Scorecards 2.0」が公開 (OSDN, 7/2)
》 RHELフォークの「VzLinux 8.4」が公開 (OSDN, 7/7)
》 日本オリンピック委員会のランサムウエア感染事案についてまとめてみた (piyolog, 6/30)
JOCは感染した全台を1か月かけ全て新規に入れ替えを行っている。この対応に要した費用は約3,000万円。
全台入れ替えはJOC側の早期業務復旧を受けた業者側の提案によるもの。
》 ClamAV EOL of 0.100.x versions (ClamAV, 6/29)。2021.10.29 で終了。
》 酒類の提供停止を伴う休業要請等に応じない飲食店との酒類の取引停止について (依頼) (内閣官房新型コロナウイルス感染症対策推進室・国税庁酒税課, 7/8)。これもヤクザ内閣。 こちらは取り下げられていません。違憲の疑いが濃厚。
酒の販売業者に取引停止要請「明らかに飲食店の営業を侵害している」、反発の声次々と (弁護士ドットコムニュース / Yahoo, 7/8)
酒提供の飲食店と“取り引き停止を” 国が要請 抗議も (NHK, 7/9)
酒提供をやめない飲食店と取引停止「国の要請は憲法上問題」「巧妙かつ悪質」 専門家が指摘 (東京, 7/13)
西村大臣、酒類の販売業者に飲食店との取引停止を要請 法的な問題は? (前田恒彦 / Yahoo, 7/13)
ツイート
でも、7/8付事務連絡には「飲食店が同要請等に応じないことを把握した場合には・・・・酒類の取引を停止するようお願いします」とむしろ判断の余地がないかのように書かれています。政府はまず、業者さん宛に上の3点を明らかにした補足の文書を出すべきだと要請しました。
— 山尾志桜里 (@ShioriYamao) July 12, 2021
そして、官房も国税庁も「この論点=飲食店に対する32Ⅱ違反の疑い」については検討していないとのこと。取引停止も販売業者の判断次第で義務的ではないとか、他の販売業者との取引も事実上可能、と後付けの説明があるかもしれませんが、それならそもそも実効性がないそんな依頼するなという話。
— 山尾志桜里 (@ShioriYamao) July 12, 2021
》 酒提供停止で内閣官房が依頼文書 (共同, 7/12)。ヤクザ内閣。
内閣官房が8日付で各府省庁に、所管する金融機関に政府方針への協力を求めるよう依頼する「事務連絡」の文書を出していた (中略) 西村氏が担当する内閣官房新型コロナ感染症対策推進室だけでなく、政府ぐるみで進めようとしていた。
関連:
金融機関要請、関係省庁と調整 西村氏「混乱」陳謝 (時事, 7/13)
西村康稔経済再生担当相は13日の記者会見で、酒類提供停止に応じない飲食店への働き掛けを金融機関に求める方針を一時示したことに関し、金融庁、経済産業省、財務省と事前に調整していたことを明らかにした。(中略) 西村氏はまた、東京都への緊急事態宣言発令を決めるに当たり、菅義偉首相と関係閣僚も金融機関への働き掛けについて聞いていたと説明した。
飲食店の酒類提供停止 内閣官房、金融機関所管省庁に依頼文書 (毎日, 7/13)
二つの文書は、国民民主党の山尾志桜里衆院議員がツイッターに掲載し、共同通信が政府関係者に確認した。(共同)
こちら:
銀行などに飲食店の監視をさせるための政府内文書を入手。7/8付で発出、翌7/9に廃止。発出前の事前調整は金融庁監督局監督調査室・財務省大臣官房政策金融課・経産省中小企業庁金融課の3部署と内閣官房でなされており、麻生大臣にはあげていなかったとのこと pic.twitter.com/ouakTvw4CA
— 山尾志桜里 (@ShioriYamao) July 12, 2021
ツイート
菅首相は、「承知していない」「詳しくは承知していない」「見ていない」「聞いていない」などと、まず逃げ、その間に対応を誰かに考えさせる、という傾向がある。本来なら、承知していないとしても「承知していない」ではなく「確認したい」などと答えるべきなのに。→ https://t.co/3H82cgKWFr
— 上西充子 (@mu0283) July 13, 2021
》 Windowsの不具合情報の集約サイトが日本語化 ~10カ国語へローカライズ (窓の杜, 7/12)、 Windows のリリースの正常性 (Microsoft)
CVE-2021-30129: DoS/OOM leak vulnerability in Apache Mina SSHD Server (oss-sec ML, 2021.07.12)。Apache Mina SSHD 2.7.0 で対応。
[ANNOUNCE] Apache SSHD 2.7.0 released (mail-archive.com, 2021.05.31)。「Apache SSHD is a 100% pure java library to support the SSH protocols on both the client and server side」ですか。
Serv-U Remote Memory Escape Vulnerability CVE-2021-35211 (SolarWinds, 2021.07.09)。Serv-U 15.2.3 HF1 以前に 2 件の 0-day 欠陥。Microsoft からの通報で判明。 15.2.3 HF2 で修正。
有名FTPサーバーソフト「Serv-U」にゼロデイ脆弱性が見つかる、SolarWindsは修正パッチをリリース (gigazine, 2021.07.13)
》 セブンイレブンのTwitterキャンペーンにセキュリティ上の問題?指摘相次ぐ (PC Watch, 7/12)。セブンイレブン、DM へのアクセスを要求。
》 Amazonのサクラレビュー対策でアカ凍結された中国の越境EC会社、売上が45分の1に (PC Watch, 7/12)
》 バイデン大統領、ロシア拠点のサイバー攻撃についてプーチン大統領に電話で警告 (ITmedia, 7/12)
》 発電コスト、最安は原発から太陽光に 経産省が試算発表 (朝日, 7/12)。経産省すら認めざるを得ない現実。
政府や大手電力会社は東京電力福島第一原発事故後も原発のコスト面の優位性を強調してきたが、前提が崩れることになる。政府が近く改定をめざすエネルギー基本計画にも影響しそうだ。
》 東京五輪にみる翻訳記事の危うさ (鴻巣友季子, 7/12)
》 第一三共 コロナワクチン 年内にも数千人規模の臨床試験実施へ (NHK, 7/12)
新型コロナウイルスではすでに実用化されたワクチンがあることから、ワクチンが含まれていない偽の薬を数万人に投与して効果を比較する大規模は臨床試験は倫理的に難しいとされています。
このため会社では開発中のワクチンを投与した人の抗体の値をすでに実用化されたワクチンと比べて遜色がないことを確認する「非劣性試験」という方法で検討しているということです。
非劣性試験とは何ですか? (がんナビ)
》 「100ワニ映画」の荒らし行為、「新宿バルト9」が現場になった理由 (ITmedia, 7/9)
バルト9は「あとから決済」を選択すると上映開始時刻の15分前まで(午後は30分前)に劇場の自動発券機などで精算すれば良い珍しい方式。(中略) 今回のいたずら行為はいわば良心的なシステムを悪用したもので、SNSでは利用者と見られる人から「二度と座席予約で遊ばないでほしい」など怒りの声も上がっている。
》 「Amazon」に障害か、商品ページが表示できず アプリも正常に動作せず【解決済み】 (ITmedia, 7/12)
》 シノバック製ワクチン2回接種のタイ医療従事者600人超がコロナ感染 (ロイター, 7/12)
4月から7月までのデータによると、シノバック製ワクチンを2回接種した医療従事者は合計67万7348人で、このうち618人が感染。看護師1人が死亡し、もう1人は重症になっている。
保健省の報道官は、専門家でつくる委員会がリスクを抱える医療従事者の免疫力を高めるために3回目の接種を行うよう勧告したと述べた。
》 Virgin Galactic、創業者の初宇宙飛行成功 搭乗券懸賞スタート (ITmedia, 7/12)
企業のお知らせ配信サイト「PR TIMES」で漏えい 発表前の情報258件に不正アクセスの痕跡 (ITmedia, 7/9)
PR TIMES情報流出事案は「不正アクセス」なのか? (しまたろさんの掃き溜め, 7/10)
》 Amazon Echoの処分には細心の注意を。研究者が警鐘 (PC Watch, 7/9)
研究者らがeBayなどを通じて購入した中古のEcho Dotを調べたところ、その実に6割がリセットされていない状態であったという。つまり、前のユーザーが使っていた情報がそのまま残っていた (中略) 吸い出したSSID/PSKパスワードと同じ設定を適当なルーターにはめると、Echo Dotはそのアクセスポイントに接続してしまう。すなわち、攻撃者は以前のユーザーが使っていたAmazonアカウントにアクセスできてしまうという。 (中略) リセットをしていても、攻撃者が高度なリストア処理を行なった場合情報を抜き出せてしまう。
》 米グラフ雑誌「LIFE」の37年分のバックナンバー、Google ブックスで全ページ無料公開中 (やじうま Watch, 7/7)。うぉぅ。 当時の広告も全部込み。戦時中にこんな広告出してた相手と戦争してたんだぜ? 勝てるわけがない。
キャパの「ちょっとピンぼけ」の D-day 写真が載っているのは 1944年6月19日号。 丸刈りの女性の写真が載っているのは1944年9月4日号。 この件: 『丸刈りにされた女たち』(藤森晶子著)・・・「ドイツ兵の恋人」の戦後を辿る (kifuru:コーヒーと音楽のブログ, 2016.11.03)
》 「ファスト映画」で共犯の2人を新たに書類送検 ナレーターとして関与か (ITmedia, 7/8)
無線LANルーターなどネットワーク製品の一部における脆弱性に関して (エレコム, 2021.07.06)。OS コマンドインジェクションや任意のコードの実行を許す欠陥。 修正はされない。
エレコム製ルーターに脆弱性。修正はなく使用中止を勧告 (PC Watch, 2021.07.06)
アラートアドバイザリ:パスワードマネージャーの脆弱性について (CVE-2021-32461, CVE-2021-32462) (トレンドマイクロ, 2021.06.30)。5.x の欠陥。5.0.0.1223 以降で修正されている。(自動更新)
Androidの2021年7月セキュリティ更新がアナウンス (窓の杜, 2021.07.08)。security patch level 2021-07-01, 2021-07-05。
スクリプト言語「Ruby」にセキュリティ更新 ~3件の脆弱性に対処 「Ruby 3.0.2」「Ruby 2.7.4」「Ruby 2.6.8」がダウンロード可能 (窓の杜, 2021.07.08)
「Ruby 2.6」系統は通常のメンテナンスフェイズは終了し、1年間のセキュリティメンテナンスフェイズに移行している。(中略) 「Ruby 2.6」系統のサポートは2022年3月末を目処に打ち切られる見込み。できるだけ早い「Ruby 3.0」系統への移行をお勧めする。
》 どこでも同じパスワードが生成される……Kasperskyのパスワード生成ツールの問題とは? (窓の杜, 7/8)。
》 顔認証システムをだます詐欺が急増、詐欺師はどうやって突破しているのか? (gigazine, 7/8)
》 伊藤詩織氏と大澤昇平氏との裁判、判決内容が示唆するもの (荻上式BLOG, 7/7)
Windowsの印刷スプーラーの脆弱性(CVE-2021-34527)に関する注意喚起 (2021.07.05)
Windows 10 バージョン 1607、Windows Server 2016、Windows Server 2012 用の更新プログラムも公開されました。
Windowsの印刷スプーラーの脆弱性(CVE-2021-34527)に関する注意喚起 (JPCERT/CC, 2021.07.08 更新)
Windows Print Spooler の脆弱性情報 (CVE-2021-34527) に対するセキュリティ更新プログラムの定例外での公開 (MSRC Blog, 2021.07.08 更新)
一方で、今回の更新は不完全だとの声が上がっています。
「Microsoftの印刷スプーラ脆弱性対策は不十分」と複数セキュリティ研究者が指摘 (PC Watch, 2021.07.08)。 patch を適用しても local からの攻撃は防げないと。またレジストリ \HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Printers の NoWarningNoElevationOnInstall が 1 の場合、 remote からの攻撃も可能だと。
NoWarningNoElevationOnInstall = 1 は、 グループポリシーであれば、 コンピューターの構成 / 管理用テンプレート / プリンター の「ポイント アンド プリントの制限」 を「有効」に設定し、かつ「セキュリティの確認: 新しい接続用にドライバーをインストールした場合:」で「警告または昇格時のプロンプトを表示しない」を選択した場合に設定される値です。
Windowsの印刷スプーラーの脆弱性(CVE-2021-34527)に関する注意喚起 (JPCERT/CC, 2021.07.08 更新)
なお、WindowsでPoint and Printが有効である場合、設定次第では仕様上脆弱な状態になります。マイクロソフトのアドバイザリに推奨される設定値が掲載されているため、自組織の環境における設定をご確認いただくことを推奨します。
Windows 印刷スプーラーのリモートでコードが実行される脆弱性 CVE-2021-34527 (Microsoft, 2021.07.07 更新)
ポイント アンド プリントはこの脆弱性と直接関係はありませんが、このテクノロジにより、悪用が可能になるような方法でローカルのセキュリティ態勢が緩和されます。グループ ポリシーでポイント アンド プリントを無効にするには、次のようにグループ ポリシーで設定を構成します。
- [コンピューターの構成]/[管理用テンプレート]/[プリンター]
- [ポイント アンド プリントの制限] ポリシーを [無効] に設定し、この機能をオフにします。
- 詳細については、次を参照してください: 「ポイント アンド プリントの概要 - Windows ドライバー | Microsoft Docs」
》 その女、木下富美子 (東京都議会議員、免停中に人身事故)
都民ファーストの会 木下富美子議員が事故 無免許か (NHK, 7/5)
都民ファースト除名の木下富美子氏、免停中の人身事故前にも車を運転か (日刊スポーツ, 7/6)。こちらのツイート:
大事な点なので記載しておく。告示日直前の6月21日に志村坂上でご自身が街宣車を運転しているのを、私はハッキリと見た。私は自分の街宣車のマイクでご挨拶をしたが無視されたので、良く記憶している。
— まえだ順一郎(公認会計士) (@maejun_jp) July 5, 2021
免停中に事故の都議「2日から運転できると勘違いした」 https://t.co/cuF3Yhvigu
「免停中の人身事故隠蔽」木下ふみこ氏は除名処分…都民ファが辞職を迫らない事情 (東スポ / Yahoo, 7/6)
無免許運転で交通事故 木下ふみこ氏に都ファ代表「議員辞職を求める」 (FNN, 7/7)
無免許事故の木下氏が新会派 都民ファースト除名で―都議会 (時事, 7/7)
無免許事故の木下富美子都議は小池都知事の“オキニ” 処分めぐり二転三転の「愚」 (東スポ / Yahoo, 7/7)
【政界地獄耳】都民ファースト木下の事故を小池都知事はいつ知ったか (日刊スポーツ, 7/7)
警視庁は東京都の警察。つまりそのトップは都知事になる。常識から言えばSPを通じて都知事の耳には2日に事件の概要は入っているはずだ。そうなれば都知事は事件を知っていて有権者にその情報を伝えず、選挙の投票行動に影響を与えた可能性がある。一方、警視庁が都知事に伝えず選挙後、都知事が知ったとしたらそちらも問題だ。この事件を有権者が選挙中に知っていれば木下への評価を変えた可能性があるからだ。
【独自】木下富美子都議、“イタコ芸”で故人の名前を無断使用か (SAKISIRU, 7/7)
木下議員は6月6日、自身のFacebookページで「6/5 事務所開きを開催いたしました」と告知。11枚の写真を同時に掲載したが、そのなかに、元板橋区議会議員・橋本祐幸氏の“ため書き”があった。 (中略) 橋本氏は (中略) 2020年8月23日にすでに死去している。 (中略) 橋本氏の娘の久美氏が (中略) 自身のツイッター上で憤りを表明していた。 (中略) 公職選挙法違反となる「虚偽事実の公表」にあたる可能性を指摘する声もある。
こちらのツイート:
私の父が今回の選挙で木下候補に必勝の為書きを送ったらしい。でも父は昨年亡くなったはず。あの世からの為書きというイタコ芸か?誰が送ったか知らないけど、陣営も本人も何もかも非常識過ぎるでしょう。これを知った時は怒りよりただ呆れてしまった。#板橋区 https://t.co/J3hTUtUXS0
— はしもと久美(あなたのまち🏡のカウンセラー板橋区) (@hashimotokumi) July 5, 2021
》 伊藤詩織さんを中傷 東大院の元特任准教授に賠償命じる (朝日, 7/6)。関連:
伊藤詩織さんを「偽名」とツイート、元東大特任准教授・大澤昇平さんに賠償命令【UPDATE】 (ハフポスト, 7/6)
損害賠償を命じられた大澤昇平さん「俺が大勝」と宣言、勝ち負けの基準は? (弁護士ドットコム, 7/6)
「今回の伊藤さんの裁判については、投稿を違法と認めてもらうことが主目的と考えられますから、伊藤さんの勝訴と考えて良いでしょう」(藤吉弁護士)
》 香港のデータ保護法が「社員個人の起訴につながる恐れがある」としてGoogle・楽天などの連合がサービス停止を示唆 (gigazine, 7/6)
》 Appleがプライバシー強化機能を導入してAndroidが恩恵を受ける (gigazine, 7/6)。「iOS向けモバイル広告への支出が減少し、Android向けモバイル広告への支出が増加している」。おぉぅ。
》 「修理する権利」をメーカーが制限することを禁じる規制案の作成をバイデン大統領が指示か (gigazine, 7/7)
》 無料の音声編集ソフト「Audacity」が「法執行に必要なデータを収集する」と発表、開発者は「データ収集なしのAudacityのフォーク」に着手 (gigazine, 7/5)
Windowsの印刷スプーラーの脆弱性(CVE-2021-34527)に関する注意喚起 (2021.07.05)
定例外で CVE-2021-34527 更新プログラムが公開されました。 ただし例外があります。
Windowsの印刷スプーラーの脆弱性(CVE-2021-34527)に関する注意喚起 (JPCERT/CC, 2021.07.07 更新)
なお、Windows 10 version 1607、Windows Server 2016、Windows Server 2012についてはまだ更新プログラムは公開されておらず、今後公開を予定しているとのことです。
Windows 10 バージョン 1607 は Enterprise 2016 LTSB としてしか維持されていないので、 ほとんどの人には関係ないだろうけど。
セキュリティ更新プログラム ガイド (Microsoft)。CVE-2021-34527 の件、 「Windows 10 version 1607、Windows Server 2016、Windows Server 2012」 については article や download が示されていないことを確認できる。
》 ハッチバックに連結するキューブ型テント「CASULE(カースル)」初の展示販売、4万8200円 (Internet Watch, 7/5)。災害時も使えるかなあ。
Security patch 20210518 version 1.5 released (Plone, 2021.06.28)。Plone 4.3, 5.0, 5.1, 5.2 用。
[Dovecot-news] Dovecot v2.3.14.1 released (dovecot, 2021.06.21)、 [Dovecot-news] Dovecot v2.3.15 released (dovecot, 2021.06.21)。 CVE-2021-29157、 CVE-2021-33515 を修正。
Pigeonhole v0.5.15 Changes (Pigeonhole, 2021.06.21)。 CVE-2020-28200 を修正。
Windows 11の要件チェックツール「WhyNotWin11」がダークモードと日本語UIに対応 セキュリティ問題も修正。古いビルドを利用している場合はアップデートを (窓の杜, 2021.07.05)
https://github.com/rcmaehl/WhyNotWin11/releases (GitHub)。最新は 2.3.0.5。2.3.1 はテスト版。
2.3.0.2+ and 2.3.1 are to be considered Security Patches. If you are on an older build, please update.
》 Symantec Endpoint Protection (SEP) Client Compatibility List for macOS and OSX (broadcom, 5/25)。更新されていないようだが、手元の SEPM には 14.3 RU2 Mac クライアントが流れてきた。手元の M1 プロセッサー機にインストールしてみたところ、無事稼働している模様。
》 How to Enable gpedit.msc In Windows 10 Home Edition (itechtics, 6/11)。.bat 一発でインストール。こんな方法があるんですね。
》 NTTぷらら、個人情報最大800万件が漏えいした可能性 「ひかりTV」受信機の配達先住所など (ITmedia, 7/2)
》 再送-中国当局、配車サービス滴滴のアプリ配信停止を命じる (ロイター, 7/5)、 中国当局、IPOしたばかりの「ディディ(滴滴出行)」をDL停止処分 (Business Insider, 7/5)
》 クライアント管理サービスのKaseyaに大規模ランサムウェア攻撃 またREvilの可能性 (ITmedia, 7/4)
》 中国でのビットコイン規制を受け、全世界のハッシュレートが半分に (やじうま Watch, 7/2)
》 ワクチン接種 全国的に急ブレーキ。 アクセル踏みまくりと思いきやの急ブレーキなので、がっかり感が半端ない。
ワクチン届かず……京都の病院「突然の通達に困惑」 予約キャンセルで「市長と相談せい!」「納得いかない」怒りと落胆 (日テレ / Yahoo, 7/3)
ワクチン新規予約を一時停止 千葉市 国からの供給不透明で (千葉日報, 7/3)
接種計画の調整役不在 ワクチン予約、各地で停止 (日経, 7/3)
神戸でワクチン接種予約「5万人分キャンセル」 市民から戸惑いの声 (ABC / Yahoo, 7/5)
【速報】ワクチン個別接種、予約受け付け停止 「あすから当分の間」と仙台市 (河北新報, 7/5)
一方で、この状況は何なのか。
【炎上】スマートニュース従業員400人なのに5000人分を確保し「炊き出しの精神」で一般人に配ると宣伝「ワクチンの私企業商材化だ」「売名行為」と批判殺到 (まとめダネ!, 7/3)
近畿大学 新型コロナワクチン接種 地域の人たちにも拡大 (NHK, 7/5)。どれだけ確保したのだろう。
Windows のプリントスプーラーに 0-day 欠陥。 認証済みユーザーが remote から任意のコードを SYSTEM 権限で実行できる。 既に PoC が公開されてしまっており、広く悪用される恐れがある。CVE-2021-34527。 2021.06 patch で修正された CVE-2021-1675 に類似してはいるが異なる欠陥。
patch はまだない。回避方法としては以下がある。
プリントスプーラーサービスを停止し、無効化する。
Stop-Service -Name Spooler -Force
Set-Service -Name Spooler -StartupType Disabled
グループポリシーを設定することで、内向き (inbound) のリモート印刷を無効化する。
コンピューターの構成 / 管理用テンプレート / プリンター の 「印刷スプーラーにクライアント接続の受け入れを許可する」を「無効」に設定し、 プリントスプーラーサービスを再起動する。
関連:
JVNVU#96262037 - Microsoft Windowsの印刷スプーラーにリモートコード実行の脆弱性 (JVN, 2021.07.05)
Windows Print Spooler Remote Code Execution Vulnerability CVE-2021-34527 (Microsoft, 2021.07.03 更新)
Free Micropatches for PrintNightmare Vulnerability (CVE-2021-34527) (0patch blog, 2021.07.02)
Microsoft shares mitigations for Windows PrintNightmare zero-day bug (bleeping computer, 2021.07.02)
CISA: Disable Windows Print Spooler on servers not used for printing (bleeping computer, 2021.07.01)
Public Windows PrintNightmare 0-day exploit allows domain takeover (bleeping computer, 2021.06.30)
定例外で CVE-2021-34527 更新プログラムが公開されました。 ただし例外があります。
Windowsの印刷スプーラーの脆弱性(CVE-2021-34527)に関する注意喚起 (JPCERT/CC, 2021.07.07 更新)
なお、Windows 10 version 1607、Windows Server 2016、Windows Server 2012についてはまだ更新プログラムは公開されておらず、今後公開を予定しているとのことです。
Windows 10 バージョン 1607 は Enterprise 2016 LTSB としてしか維持されていないので、 ほとんどの人には関係ないだろうけど。
セキュリティ更新プログラム ガイド (Microsoft)。 CVE-2021-34527 の件、 「Windows 10 version 1607、Windows Server 2016、Windows Server 2012」 については article や download が示されていないことを確認できる。
Windows 10 バージョン 1607、Windows Server 2016、Windows Server 2012 用の更新プログラムも公開されました。
Windowsの印刷スプーラーの脆弱性(CVE-2021-34527)に関する注意喚起 (JPCERT/CC, 2021.07.08 更新)
Windows Print Spooler の脆弱性情報 (CVE-2021-34527) に対するセキュリティ更新プログラムの定例外での公開 (MSRC Blog, 2021.07.08 更新)
一方で、今回の更新は不完全だとの声が上がっています。
「Microsoftの印刷スプーラ脆弱性対策は不十分」と複数セキュリティ研究者が指摘 (PC Watch, 2021.07.08)。 patch を適用しても local からの攻撃は防げないと。またレジストリ \HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Printers の NoWarningNoElevationOnInstall が 1 の場合、 remote からの攻撃も可能だと。
NoWarningNoElevationOnInstall = 1 は、 グループポリシーであれば、 コンピューターの構成 / 管理用テンプレート / プリンター の「ポイント アンド プリントの制限」 を「有効」に設定し、かつ「セキュリティの確認: 新しい接続用にドライバーをインストールした場合:」で「警告または昇格時のプロンプトを表示しない」を選択した場合に設定される値です。
Windowsの印刷スプーラーの脆弱性(CVE-2021-34527)に関する注意喚起 (JPCERT/CC, 2021.07.08 更新)
なお、WindowsでPoint and Printが有効である場合、設定次第では仕様上脆弱な状態になります。マイクロソフトのアドバイザリに推奨される設定値が掲載されているため、自組織の環境における設定をご確認いただくことを推奨します。
Windows 印刷スプーラーのリモートでコードが実行される脆弱性 CVE-2021-34527 (Microsoft, 2021.07.07 更新)
ポイント アンド プリントはこの脆弱性と直接関係はありませんが、このテクノロジにより、悪用が可能になるような方法でローカルのセキュリティ態勢が緩和されます。グループ ポリシーでポイント アンド プリントを無効にするには、次のようにグループ ポリシーで設定を構成します。
- [コンピューターの構成]/[管理用テンプレート]/[プリンター]
- [ポイント アンド プリントの制限] ポリシーを [無効] に設定し、この機能をオフにします。
- 詳細については、次を参照してください: 「ポイント アンド プリントの概要 - Windows ドライバー | Microsoft Docs」
local からの権限上昇については別の CVE 番号が振られたそうです: Windows Print Spooler Elevation of Privilege Vulnerability CVE-2021-34481 (Microsoft)。 未修正です。 プリントスプーラーを停止・無効とすることで回避できます。
プリントスプーラー関連で、さらに別の欠陥が発見されたそうです。
VU#131152 - Microsoft Windows Print Spooler Point and Print allows installation of arbitrary queue-specific files (US-CERT, 2021.07.18)。攻略共有プリンターに接続することで local SYSTEM 権限を取得できる。 既に PoC が公開されている。
回避するには、外向きの SMB 接続をブロックするか、 グループポリシー「ポイント アンド プリントの実装 - 許可されたサーバー」 を設定してポイント アンド プリント機能の接続先を制限する。
New Windows print spooler zero day exploitable via remote print servers (bleeping computer, 2021.07.18)
過去の記事: 2021 | 2020 | 2019 | 2018 | 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998
![[セキュリティホール memo]](/~kjm/security/memo/memologo-s.png)