Last modified: Thu Feb 18 17:01:58 2016 +0900 (JST)
このページの情報を利用される前に、注意書きをお読みください。
》 ランサムウェア拡散を狙うWeb改ざん、国内サイト70件以上で被害を確認 (トレンドマイクロ セキュリティ blog, 10/30)
》 Office 2010 32 bit を使用している環境に、Office 2010 64 bit の更新プログラムが検出される (WSUS, 10/30)
KB2687455 の 64 ビット版 Office 2010 SP2 の適用は失敗 (中略) Office 2010 の 32 ビット版を使用している場合、検出された 64 ビット版の更新プログラムは、適用の必要はございませんので、適用対象から除外くださいますようお願いいたします。
》 行政機関等パーソナルデータ制度改正に対するパブコメ提出意見(パーソナルデータ保護法制の行方 その18) (高木浩光@自宅の日記, 10/20)
》 サイト訪問者がcookieを切っていても追跡可能な手法が明らかに (gigazine, 10/28)。セキュリティ機能の、別の使い方。
》 TPPヒアリングで露呈 真相隠しハゲタカに国売る官僚 (田中龍作ジャーナル, 10/29)
国交省の傾斜マンション有識者会議メンバーに要注意! (細野透 / 日経 BP, 10/27)
時間と興味がある方は、横浜市「行政地図情報提供システム」をチェックしてください。そして「トップページ」→「地盤Viewトップ」→最下段「同意する」→住所「横浜市都筑区池辺町4035」とたどると、「パークシティLaLa横浜」周辺のボーリング調査資料を見ることができます。
うぉぅ、こういうデータが公開されてるんだ……。
今度は「LaLa横浜」周辺の○印を手当たり次第にクリックして見てください。日本建築学会は「支持層の目安は砂質土・礫質土ではN値が50〜60以上、粘性土では20〜30以上」としています。これを参考にすると、場所によって支持層は11メートル、12メートル、13メートル、15メートル、16メートル、支持層の位置不明と、まるでバラバラであることが分かります。
これを「横浜に特有の凹凸が多い地下地形」と称します。要するに「LaLa横浜」の工事では、杭を打つ全地点でボーリング調査が必要だったのです。
しかし、しなかったと思われ……。
ここから先はかなり手前味噌になりますが、有識者会議のメンバーには、10月21日付け読売新聞11面、「論点スペシャル─傾いたマンションに潜む課題」を一読するようにお勧めします。ここでは古阪修三京大教授、河合俊男弁護士、私・細野透の3人が、それぞれの視点で解決策を提示しています。これに加えて、消費者庁的な視点を加えた4つの方法が出発点になると思います。
あとで読む。……ヨミダス歴史館で検索する場合は、「傾いたマンション」がよいみたい。
「武士の情け」にしたがって御用達学者の名前はここには書きません。しかしぜひ知りたいと考える皆さんのために、資料の入手先だけはお教えします。国交省ウェブサイト「社会資本整備審議会建築分科会基本制度部会委員名簿」に載っている大学の建築系教授(女性は除く)のうち、あの人です。
杭工事が怪しい建物は3千件、それとも6千件? (細野透 / 日経 BP, 10/29)
2つの試算を比較します。まず東洋ゴム工業は、免震装置費用Y(1〜5程度)を得ようとして、補強工事の費用として10〜20くらいを負担しなければならない立場に追い込まれました。これを苦境としましょう。
これに対して、旭化成建材は杭工事費X(1〜5程度)を得ようとして、解体工事+建替工事の費用として150くらいを負担しなければならない立場に追い込まれました。仮に杭施工不良事件がさらに広がるとしたら、旭化成グループは企業の存亡をかけた大苦境に立たされることになります。
》 【新宿】中野から新宿に移動・合流したしたコスプレ・レイシスト集団を多数のカウンターがお出迎え 2015/10/29 (togetter, 10/29)
》 Sysinternals 更新情報: Bginfo が Windows 10 対応に!など (山市良のえぬなんとかわーるど, 10/28)
》 シオノギの抗インフルエンザ薬 S-033188。 現在 Phase I。
シオノギの研究開発 (シオノギ, 3/18)。「既存薬より短い治療期間で効果が期待できる」。
2014年度決算説明会資料 (シオノギ, 5/12)
開発中の新薬 - 塩野義製薬株式会社 (製薬協)
「先駆け審査指定制度」の対象品目を初めて指定しました (厚生労働省, 10/27)、 厚労省 「先駆け審査指定制度」でシロリムスなど6品目を初指定 目標審査期間6か月に短縮 (ミクス online, 10/28)。S-033188 も含まれている。
》 10 月 30 日開催 サイバー・ハロウィン キャリアトーク (日本のセキュリティチーム, 10/26)。今日ですね。
》 EMET 5.5 Beta を公開しました (日本のセキュリティチーム, 10/28)。「本日、日本語ユーザー ガイドも公開しました」。
Oracle Critical Patch Update Advisory - October 2015 (2015.10.22)
Javaの「Click-to-Play」を回避する脆弱性「CVE-2015-4902」、「Pawn Storm 作戦」で利用される (トレンドマイクロ セキュリティ blog, 2015.10.22)
Certificate TransparencyでわかったというThawteによるgoogle.com証明書の不正発行??? (2015.09.25)
つづき。
Symantecの証明書発行に不手際、Googleが対応を要求 (ITmedia, 2015.10.30)
Symantecが10月2日に発表したインシデント報告書で、GoogleやOperaなど5組織向けのテスト証明書23件がドメイン所有者の知らないうちに発行されていたと報告した。これに対してGoogleは、不審な証明書はそれ以外にも存在すると指摘。その後、Symantecは10月12日に出した更新版の報告書で、さらに76ドメイン向けの証明書164件と、未登録ドメイン向けの証明書2458件が見つかったと発表した。
Symantec どうなってんの……。
Sustaining Digital Certificate Security (Google, 2015.10.28)
Test Certificates Incident Final Report (Symantec, 2015.10.02)
Symantec Trust Services: Incident Report 1 (Symantec, 2015.10.12)。31 ページ。
Symantec Trust Services: Incident Report 2 (Symantec, 2015.10.12)。390 ページ!!!
Raspberry Pi を使って、信頼できない USB メモリーをサニタイズするソリューション。フリーで使える。破壊系 USB メモリーの場合は……Raspberry Pi が壊れるのかな。
JVN#48135658 - 複数のルータ製品におけるクリックジャッキングの脆弱性 (JVN, 2015.10.30)。 アライドテレシス、センチュリー・システムズ、プラネックスコミュニケーションズ、ヤマハ、 NEC、アイ・オー・データ、バッファロー。 ヤマハとバッファローは告知ページができている。
「複数ルータにおけるクリックジャッキング対策の不備の脆弱性」について (ヤマハ, 2015.10.30)
クリックジャッキング対策の不備の脆弱性 (バッファロー, 2015.10.30)
アライドテレシス株式会社からの情報 (JVN, 2015.10.30)
JVN#48135658 - 複数のルータ製品におけるクリックジャッキングの脆弱性 (JVN) の最終更新は 2015.11.30。
古河電工が「該当製品あり」で追加。クリックジャッキング対策の不備の脆弱性について (古河電工, 2015.11.27)
プラネックスコミュニケーションズの告知ページ: クリックジャッキングの脆弱性への対応についてのお知らせ (プラネックスコミュニケーションズ, 2015.10.30)
クリックジャッキング対策の不備の脆弱性 (バッファロー) の最終更新は 2015.12.07。未対応の機種がまだ残ってる。
JVN#48135658 - 複数のルータ製品におけるクリックジャッキングの脆弱性 (JVN) の最終更新は 2016.02.10。
NEC のページができていた: iframeを使用するWebシステムにクリックジャッキングの脆弱性 (NEC, 2015.10.30〜)。当初からあった?
アイ・オー・データが「該当製品あり」で追加。 クリックジャッキングの脆弱性について (IO DATA, 2016.02.10)
Joomla! 3.4.5 Released (joomla, 2015.10.22)。 以下を修正。
[20151001] - Core - SQL Injection。 3.2.0〜3.4.4 に影響。
[20151002] - Core - ACL Violations。 3.2.0〜3.4.4 に影響。
[20151003] - Core - ACL Violations。 3.0.0〜3.4.4 に影響。
Joomla 3.4.5 Released, Fixing a Serious SQL Injection Vulnerability (sucuri, 2015.10.22)
Joomla SQL Injection Attacks in the Wild (sucuri, 2015.10.26)
CMS「Joomla!」にSQLインジェクションの脆弱性、スキャンの動きも内外で (@IT, 2015.10.30)
PMASA-2015-5 (phpMyAdmin, 2015.10.23)。phpMyAdmin 4.4.x / 4.5.x に影響、 phpMyAdmin 4.4.15.1 / 4.5.1 で修正。 CVE-2015-7873
JVNDB-2015-005631 - phpMyAdmin の url.php のリダイレクト機能におけるコンテンツを偽造される脆弱性 (JVN, 2015.10.29)
縁sys バージョン 1.4.1 で対応。
SQLインジェクションの脆弱性への対応について (縁sys, 2015.10.28)
任意のファイルを作成される脆弱性への対応について (縁sys, 2015.10.28)
クロスサイトスクリプティングの脆弱性への対応について (縁sys, 2015.10.28)
アクセス制限不備の脆弱性への対応について (縁sys, 2015.10.28)
クロスサイトリクエストフォージェリの脆弱性 (EC-CUBE, 2015.10.23)。EC-CUBE 2.11.0〜2.13.3 の欠陥。 https://www.ec-cube.net/info/weakness/201510_01/ で修正ファイルが公開されている。
EC-CUBE脆弱性への弊社対応状況について (アラタナ, 2015.10.23)
EC-CUBE 3.0.4 にセキュリティ修正入ってたんですね。最新は 3.0.5。
EC-CUBE3.0.4をリリースいたしました。(2015/10/09) (EC-CUBE)
EC-CUBE3.0.5をリリースいたしました。(2015/10/28) (EC-CUBE)
JVNVU#93463833 - Voice over LTE (VoLTE) の実装に複数の脆弱性 (JVN, 2015.10.19)。NTT ドコモと KDDI から「該当製品無し」との回答。
Vulnerability Note VU#943167 - Voice over LTE implementations contain multiple vulnerabilities (US-CERT, 2015.10.16)。Google が affected になっている。
JVNDB-2015-005660 - 仮想マシンモニタ (VMM) のメモリ重複排除機能に脆弱性 (JVN, 2015.10.30)
VU#935424 - Virtual Machine Monitors (VMM) contain a memory deduplication vulnerability (US-CERT, 2015.10.20)。KVM と Parallels (Virtuozzo 6) に影響あり。Hyper-V と Xen は影響なし。VMware は不明。
一般の方向け: エンテロウイルスD68(EV-D68)感染症に関するQ&A (国立感染症研究所)
アメリカで蔓延している「EV-D68」とはどんなウイルスか (WIRED, 2014.10.14)
エンテロウイルスD68型が検出された小児4症例―東京都 (国立感染症研究所, 10/1)、 東京都立小児総合医療センターが小児4症例を報告 気管支喘息様症状の小児入院例からEV-D68が検出 (日経メディカル, 10/2)
エンテロウイルスD68型が検出された、急性弛緩性脊髄炎を含む8症例―さいたま市 (国立感染症研究所, 10/15)
喘息症状を呈する患者からのエンテロウイルス68型(EV-D68)の検出―広島市 (国立感染症研究所, 10/29)
原因不明のまひ 国立感染症研究所が調査 (NHK, 10/28)
都内の病院 20人以上からエンテロウイルス (NHK, 10/29)
手洗い励行。
》 「弁護士たる政治家」としての橋下徹氏への疑問 (郷原信郎 / BLOGOS, 10/21)
》 【第2弾!】「下着ドロボー」から大出世「高木毅」復興相の露出癖〈週刊新潮〉 (BOOKS&NEWS 矢来町ぐるり / Yahoo, 10/28)、 “下着ドロ”高木復興相 「お国入り」ドタキャンで地元総スカン (日刊ゲンダイ, 10/27)
》 国連特別報告者とのミーティングへ、女の子たちと。 (Colabo代表「難民高校生」著者・仁藤夢乃の『コラボトーク』, 10/28)、 国連ミーティングで残念だったこと (Colabo代表「難民高校生」著者・仁藤夢乃の『コラボトーク』, 10/28)。
支援団体ミーティングのときのこと。
現場で活動されている方々は、現状や法制度について伝えていましたが、日弁連子どもの権利委員などを務める弁護士たちの態度や発言にショックを受けました。
弁護士のショボい実態。
》 「ネット常識力」調査、日本は16カ国中で最下位 (Internet Watch, 10/29)。https じゃないので、問 5 は該当なしだと思うのだが……。 あと、wma 形式で「イエスタデイ」を正規ダウンロードできるサイトってあるのだろうか。
》 自分のマイナンバー、ネットに掲載しないで 特定個人情報保護委員会が注意喚起 (ねとらぼ, 10/29)。「番号法第19条の提供制限に違反する可能性がある」。
》 「キルミーベイベー」呉織あぎり役の女優・高部あいさん、コカイン所持で逮捕 アニメ2期に暗雲立ちこめる (ねとらぼ, 10/27)、 高部あい逮捕報道で出演アニメお蔵入り? 動画サイトで販売が続々停止 (RBB Today, 10/28)
まさか現代のアニメ業界に「多数の作品に出演しまくってる人気声優が麻薬で捕まると、関わったすべての作品が出荷&配信停止となってアニメ業界が一気に滅ぶ」という核戦争みたいなリスクがあるなんて…
— キキ (@ifnolond) 2015, 10月 28》 【HPVワクチン(子宮頸がんワクチン)が持つ様々な問題・リスクに関するメモ】(2015.10.26作成) (togetter, 10/26)
》 「潜水艦の定員削減」でそっと忍び寄る危機 技術の継承が後回しにされている (東洋経済, 10/29)。真田さんなら「この艦では敵には勝てない」と言うのだろうか。
》 『ASCII.jp』が復活。Anonymousによるイルカ漁抗議のDDoS攻撃から1週間 (engadget, 10/28)
》 加工肉を毎日 50g/日食べ続けると大腸がんリスク 18% 増の件
大腸がん (がん情報サービス)
IARC Monographs Volume 114: Evaluation of consumption of red meat and processed meat (WHO IARC, 10/26)、 Carcinogenicity of consumption of red and processed meat (Lancet)
加工肉に大腸がんリスク、WHO専門機関が報告 (ロイター, 10/27)
リポートによると、毎日摂取する場合、50グラムの加工肉(ホットドッグ1本、ベーコンスライス2枚に相当)を食べるごとに、大腸がんの発症リスクが18%上昇する。
あくまで「毎日」ですからね。しかも「18% 増」の意味はコレ↓
最新がん統計 (がん情報サービス)。そもそも大腸がんになるリスクってどのくらいあるの? と思って調べてみると、大腸がんの罹患率は、10万人あたりで、男性 115.9、女性 80.5。これを元に「加工肉を毎日 50g/日」で 18% 増えるとすると、男性 136.8、女性 95.0。つまり、0.12% が 0.14% に変わるくらいの話でしかない。
多目的コホート研究 赤肉・加工肉摂取量と大腸がん罹患リスクについて (国立がん研究センター)。「1995,98年に、岩手県二戸、秋田県横手、長野県佐久、沖縄県中部、茨城県水戸、新潟県長岡、高知県中央東、長崎県上五島、沖縄県宮古、大阪府吹田の10保健所(呼称は2009年現在)管内にお住まいだった、45〜74才のがんや循環器疾患の既往のない約8万人の方を、2006年まで追跡した調査結果」。 そもそも、ふつうの日本人は、「加工肉を毎日 50g/日」なんて食べない模様。一方で、「肉類の摂取は結腸がんのリスクを上げる」と明記。 要は、食べすぎはよくない、という程度の話。
この研究の意義について
2007年に、世界がん研究基金(WCRF)と米国がん研究協会(AICR)による報告書「食物・栄養・身体活動とがん予防」が、10年ぶりに改訂されました 。その中で、世界中で行われた研究結果を取りまとめ、赤肉(獣肉:牛・豚・羊など)・加工肉(ハム・ソーセージ)摂取は大腸がんに対して「確実なリスク」と評価しています。もともと肉類の摂取量が欧米より少ない日本においても同様にリスクであるのかは、まだ十分にわかっていませんでした。
昨日今日はじまった話では全然ないっぽい。
》 最高時速100kmであらゆる2輪バイクを自律走行可能な驚異のロボット「MOTOBOT ver.1」走行ムービー (gigazine, 10/29)。ヤマハ。
米海軍、南シナ海で「航行の自由作戦(FONOP)」実施 (海国防衛ジャーナル, 10/27)
今回のFONOPで空母ではなくイージス駆逐艦を用いた背景には、中国に1996年のことを思い出させ、余計な感情的反発を引き起こさないための配慮だったのだろうと思います。ただし、インド洋で今月14日から行われた日米印3カ国合同軍事演習に参加した空母「セオドア・ルーズベルト」が22日にマラッカ海峡を通過し、24日にシンガポールのチャンギ基地に寄港しています。スビ・ミスチーフを空母艦載機の活動範囲に収めており、中国もルーズベルトの位置を確認しているでしょう。
後詰めに空母がいたそうで。
「航行の自由作戦(FONOP)」はベトナム、フィリピンの岩礁・低潮高地でも実施 (海国防衛ジャーナル, 10/28)。対中だけでやっているわけではない。
中国が米軍のFONOPに反対するのは無理があります。UNCLOSの無害通航原則において、外国船は沿岸国の平和を害しない限り12海里領海内を通過する権利を有しているからです(第19条)。米国が南シナ海における中国の領有権を認めていようとなかろうと、国際法は平和に通過することを禁じていません。そもそも、中国は今年9月にベーリング海の米国領海を通過する際、この無害通航権を行使したばかりですから、自家撞着ですね。
米艦南沙派遣:中国「主権を脅かす」 追尾と警告も (毎日, 10/27)
米艦南沙派遣:フィリピン、豪州は歓迎 (毎日, 10/27)
米艦南沙派遣:板挟みに悩む韓国 欧州は関心薄く (毎日, 10/27)
米艦南沙派遣:数時間の「航行の自由作戦」緊張高まる (毎日, 10/28)
中国国防省の楊宇軍報道官は27日、ラッセンを追跡した艦船が中国版イージス艦とされるミサイル駆逐艦「蘭州」と巡視艦「台州」であると明らかにした。
052C 型駆逐艦「蘭州」、 053H1 型フリゲート「台州」。
クローズアップ2015:南沙へイージス艦 米、人工島譲歩狙い (毎日, 10/28)
「航行の自由作戦」今後も続行、米政府方針 (TBS, 10/28)
カーター国防長官 (中略) 「その海域で最近、海軍の作戦があったが、数週間・数か月中にもあるだろう」
ここに注目! 「南シナ海『航行の自由作戦』の狙い」 (NHK 解説委員室, 10/28)
中国、米駆逐艦の航行を「違法行為」と非難 南シナ海 (BBC, 10/28)
米艦南沙航行:中国の挑発批判に米反論「公海上の作戦」 (毎日, 10/29)
南シナ海:海自が米海軍の空母部隊と共同訓練へ (毎日, 10/29)
Apple 関係積み残し (2015.10.28)
iPhoneを「夜間にアップデート」するとアラームが全解除されて寝坊する人が続出 (gigazine, 2015.10.29)
》 【注意喚起】特定の組織からの注文連絡等を装ったばらまき型メールに注意 (IPA, 10/28 更新)、 注意喚起:悪意あるWordファイルが添付された日本語メールについて (Kaspersky, 10/27)
》 【動画+写真23枚】自衛隊は戦えるのか(6)〜イスラム国(IS)戦術分析◆軍用車ハンヴィー哀物語 (アジアプレス, 10/26)
》 【動画+写真21枚】自衛隊は戦えるのか(5)〜イスラム国(IS)戦術分析◆砲弾製造と迫撃弾攻撃 (アジアプレス, 10/10)
》 【動画+写真20枚】自衛隊は戦えるのか(4)〜イスラム国(IS)戦術分析◆自爆戦闘員の心理を知る (アジアプレス, 10/2)
》 【動画+写真20枚】自衛隊は戦えるのか(3)〜イスラム国(IS)戦術分析◆基地奇襲の自爆突撃 (アジアプレス, 9/27)。自爆 APC。
》 あのテレビCMでおなじみの法人で不祥事・トラブル続出 委任状捏造の疑いも (Business Journal, 10/28)。司法書士法人新宿事務所の件。
》 NAVERまとめに載った自分のツイートを消す方法 (おち研, 10/27)
》 「My KONAMI」への不正ログイン発生のご報告とパスワード変更のお願い (コナミ, 10/27)。「今回、不正ログインを受けたKONAMI IDの件数は10件」
》 食料品の袋を抱えた女性をチリヂリの肉片に吹き飛ばしたイラク帰還米兵が殺人犯す確率は市民平均の114倍 – 安倍政権が狙う血を流す軍隊が市民の命と尊厳奪う (月刊誌『KOKKO』編集者・井上伸のブログ, 8/16)
》 菅官房長官の「子ども産んで国家に貢献を」→日本で子ども産めば世界最悪の女性賃金差別=男性のわずか39%、OECD30カ国平均の半分 (月刊誌『KOKKO』編集者・井上伸のブログ, 10/1)
Google Apps に対する攻撃事例が確認されているようで。「JPCERT/CCによると、前述のような事案の被害に関して情報公開する組織が10月に入り急増し、18件(10月23日現在)と前月の2倍の件数」だそうです。
- 友人・知人の情報が記載された海外 SNS の招待メールが届く
- 招待メールのリンクをクリック後、サービス連携の許可を求める画面が表示される
- サービス連携を許可すると海外SNSはGoogleの連絡先情報が利用可能になる
やっちまった場合は、 https://security.google.com/settings/security/permissions から取り消せばいいのかな。
関連: 注意喚起「SNSやクラウドサービスで連携されるアカウント情報には細心の注意を」 (JPCERT/CC, 2015.10.28)
About the security content of Keynote 6.6, Pages 5.6, Numbers 3.6, and iWork for iOS 2.6 (Apple, 2015.10.15)
攻略文書ファイルを開くとユーザー情報が漏洩する欠陥 CVE-2015-3784 CVE-2015-7032、 攻略文書ファイルを開くと任意のコードが実行される欠陥 CVE-2015-7033 CVE-2015-7034 を修正。
About the security content of iOS 9.1 (Apple, 2015.10.21)
任意のコードが実行されるなどの 49 件の欠陥を修正。 CVE-2015-5924 CVE-2015-5925 CVE-2015-5926 CVE-2015-5927 CVE-2015-5928 CVE-2015-5929 CVE-2015-5930 CVE-2015-5935 CVE-2015-5936 CVE-2015-5937 CVE-2015-5939 CVE-2015-5940 CVE-2015-5942 CVE-2015-6974 CVE-2015-6975 CVE-2015-6976 CVE-2015-6977 CVE-2015-6978 CVE-2015-6979 CVE-2015-6981 CVE-2015-6982 CVE-2015-6983 CVE-2015-6986 CVE-2015-6988 CVE-2015-6989 CVE-2015-6990 CVE-2015-6991 CVE-2015-6992 CVE-2015-6993 CVE-2015-6994 CVE-2015-6995 CVE-2015-6996 CVE-2015-6997 CVE-2015-6999 CVE-2015-7000 CVE-2015-7002 CVE-2015-7004 CVE-2015-7005 CVE-2015-7006 CVE-2015-7008 CVE-2015-7009 CVE-2015-7010 CVE-2015-7012 CVE-2015-7014 CVE-2015-7015 CVE-2015-7017 CVE-2015-7018 CVE-2015-7022 CVE-2015-7023
関連: Apple、iOS 9.1でPanguハッカー集団のJailbreakを締め出す (techcrunch, 2015.10.22)
About the security content of watchOS 2.0.1 (Apple, 2015.10.21)
About the security content of Safari 9.0.1 (Apple, 2015.10.21)
任意のコードの実行を招く、WebKit の欠陥 9 件を修正。CVE-2015-5928 CVE-2015-5929 CVE-2015-5930 CVE-2015-5931 CVE-2015-7002 CVE-2015-7011 CVE-2015-7012 CVE-2015-7013 CVE-2015-7014
About the security content of OS X El Capitan v10.11.1 and Security Update 2015-007 (Apple, 2015.10.21)
任意のコードが実行されるなどの 60 件の欠陥を修正。 CVE-2012-6151 CVE-2014-3565 CVE-2015-0235 CVE-2015-0273 CVE-2015-5924 CVE-2015-5925 CVE-2015-5926 CVE-2015-5927 CVE-2015-5932 CVE-2015-5933 CVE-2015-5934 CVE-2015-5935 CVE-2015-5936 CVE-2015-5937 CVE-2015-5938 CVE-2015-5939 CVE-2015-5940 CVE-2015-5942 CVE-2015-5943 CVE-2015-5944 CVE-2015-5945 CVE-2015-6563 CVE-2015-6834 CVE-2015-6835 CVE-2015-6836 CVE-2015-6837 CVE-2015-6838 CVE-2015-6974 CVE-2015-6975 CVE-2015-6976 CVE-2015-6977 CVE-2015-6978 CVE-2015-6983 CVE-2015-6984 CVE-2015-6985 CVE-2015-6987 CVE-2015-6988 CVE-2015-6989 CVE-2015-6990 CVE-2015-6991 CVE-2015-6992 CVE-2015-6993 CVE-2015-6994 CVE-2015-6995 CVE-2015-6996 CVE-2015-7003 CVE-2015-7006 CVE-2015-7007 CVE-2015-7008 CVE-2015-7009 CVE-2015-7010 CVE-2015-7015 CVE-2015-7016 CVE-2015-7017 CVE-2015-7018 CVE-2015-7019 CVE-2015-7020 CVE-2015-7021 CVE-2015-7023 CVE-2015-7035
About the security content of Mac EFI Security Update 2015-002 (Apple, 2015.10.21)
OS X Mavericks v10.9.5 用の EFI 修正 CVE-2015-7035。About the security content of OS X El Capitan v10.11.1 and Security Update 2015-007 (Apple, 2015.10.21) に含まれている?
About the security content of iTunes 12.3.1 (Apple, 2015.10.21)
Windows 版 iTunes に 12 件の欠陥 CVE-2015-5928 CVE-2015-5929 CVE-2015-5930 CVE-2015-5931 CVE-2015-6975 CVE-2015-6992 CVE-2015-7002 CVE-2015-7011 CVE-2015-7012 CVE-2015-7013 CVE-2015-7014 CVE-2015-7017 。 Mac / iOS では、OS や WebKit の修正として行われている内容。
About the security content of Xcode 7.1 (Apple, 2015.10.21)
Swift の欠陥 1 件を修正。CVE-2015-7030
About the security content of OS X Server 5.0.15 (Apple, 2015.10.21)
BIND と Web Service の欠陥、計 3 件を修正。 CVE-2015-5722 CVE-2015-5986 CVE-2015-7031
iPhoneを「夜間にアップデート」するとアラームが全解除されて寝坊する人が続出 (gigazine, 2015.10.29)
About the security content of OS X El Capitan v10.11.1 and Security Update 2015-007 (Apple, 2015.10.21) には Gatekeeper 回避の件の修正が含まれていたが、実は完全ではなかった件:
Gatekeeperの脆弱性に対するAppleの修正、根本的な修正はされていなかったことが判明 (スラド, 2016.01.17)
Drop-dead simple exploit completely bypasses Mac’s malware Gatekeeper (ars technica, 2015.09.30)
How malware developers could bypass Mac’s Gatekeeper without really trying (ars technica, 2016.01.15)
About the security content of OS X El Capitan 10.11.1, Security Update 2015-004 Yosemite, and Security Update 2015-007 Mavericks (Apple)。Last Modified: Dec 14, 2015
Security
Available for: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5, and OS X El Capitan 10.11
Impact: An Apple-signed binary could be used to load arbitrary files
Description: Certain Apple-signed executables loaded applications from relative locations. This was addressed through additional checks in Gatekeeper.
CVE-ID
CVE-2015-7024 : Patrick Wardle of Synack
これ、当初発表されたものには含まれていない。
Shockwave Player 12.2.1.171 公開 (Windows、Mac)。任意のコードの実行を招く 1 件のセキュリティ欠陥 CVE-2015-7649 を修正。Priority rating: 1
》 放送大学:政権批判を自主規制 (おしどりポータルサイト)
放送大学:政権批判を自主規制➂ 学長説明は不誠実、副学長は一億総活躍国民会議構成員 (おしどりポータルサイト, 10/24)
3行まとめ
・10月23日、放送大学、岡部洋一学長が、文章削除に関する経緯の説明を公表。
・東京大学、佐藤康宏教授はその説明には、同意できない、とのこと。
・試験問題を採用したあと、政権批判を含む、と一方的に「不適切なため」削除の通告をした宮本みち子副学長は、一億総活躍国民会議の有識者構成員に選ばれていた。
放送大学:政権批判を自主規制➁筆者が学長に出した速達 (おしどりポータルサイト, 10/24)
放送大学:政権批判を自主規制① 「政治的中立とは、政権から距離を保つこと」 (おしどりポータルサイト, 10/24)
》 民放5社による無料見逃し配信「TVer」が26日スタート (AV Watch, 10/26)。ニュース番組を入れてほしい。
》 三井不動産はなぜウソをついたのか──傾いたマンション問題の波紋 (細野透 / 日経 BP, 10/26)
「クレーム対応の4つの基本手順」はネットで検索すればすぐに分かります。「 (1)相手の心情を理解し、不快にさせたことをお詫びする。(2)何が問題になっているか、原因・事実確認を行なう。(3)問題の代替案・解決策を冷静に提示する。(4)再度お詫びをし、ご意見に対して感謝する」。
三井不レジほどの業界トップ会社に、なぜ、こんな簡単なことが実行できなかったのでしょうか。
》 SLocker v.s. Marshmallow (エフセキュアブログ, 10/22)
この時点で、Androidアプリが管理者権限を得ることが驚くほど簡単にみえることを言及すべきだろう。AppleのiOSでは、VPNのような基本項目を設定する際にはパスコードが要求される。しかしAndroidでは、管理者権限の要求に必要なのは単純な「はい」だけなのだ。
》 「iOS」の新機能「Wi-Fi Assist」を巡りユーザーがアップルを提訴 (CNET, 10/27)。当然の結果。
》 ツタヤとの関係、TRC解消へ 「図書館の考え方違う」 (朝日, 10/27)。TRC (図書館流通センター)、話にならないとサジを投げた模様。
TRC広報部は「CCCの独自の図書分類は司書が本を探すのも非常に困難。図書館のあり方として、考え方に折り合いがつかなかった。海老名については、市も含め3者で今後協議していく」としている。
》 米国海軍アーレイ・バーク級駆逐艦ラッセン、南沙諸島で「航行の自由作戦」実施中
米軍:近く南沙進入…中国埋め立てに対抗 (毎日, 10/25)
オバマ政権に政策提言をする米有力シンクタンク、戦略国際問題研究所(CSIS)で南シナ海での中国の活動を調査するグレゴリー・ポーリング氏は毎日新聞の取材に、米軍の「航行の自由」作戦について、ミスチーフ礁とスービ礁を埋め立てた人工島の周辺海域が対象になる可能性が高いと述べた。二つの岩礁は、いずれも埋め立て前は満潮時に水没する「低潮高地(暗礁)」であり、国際法上は領有権や領海を主張できない。このため米軍が進入しても特定国の領有権には影響を与えず、全ての国のために航行の自由を支持するとの米国の主張を示しやすいとの判断と見られる。
米駆逐艦、南シナ海の中国人工島12カイリ内へ=米当局者 (ロイター, 10/27)
米国防当局者はロイターに対し、「オペレーションが始まった。数時間以内に完了するだろう」と述べた。
中国が米国を強く批判、南シナ海人工島への米駆逐艦派遣で (ロイター, 10/27)
米軍のFONOPS実施により米中の南シナ海を巡るブリンクマンシップは次のステージへ (あべこべな世界で逆立ちすると何が見える?, 10/27)
ラッセン (ミサイル駆逐艦) (ウィキペディア)
とりあえず、終了した模様。
米軍艦、中国「領海」を航行 南シナ海人工島12カイリ内 (共同, 10/27)
南沙:米軍艦、12カイリ内に…「中国領海」を航行 (毎日, 10/27)
米駆逐艦、人工島12カイリに 対中国「航行は自由」 (朝日, 10/27)
NTP Project の NTP 実装に 16 件の欠陥、ntp-4.2.8p4 で修正。 CVE-2015-7691 CVE-2015-7692 CVE-2015-7701 CVE-2015-7702 CVE-2015-7703 CVE-2015-7704 CVE-2015-7705 CVE-2015-7848 CVE-2015-7849 CVE-2015-7850 CVE-2015-7851 CVE-2015-7852 CVE-2015-7853 CVE-2015-7854 CVE-2015-7855 CVE-2015-7871
| Bug | CVE | 説明 | 影響範囲 |
|---|---|---|---|
| 2899 | CVE-2015-7691 CVE-2015-7692 CVE-2015-7702 |
Incomplete autokey data packet length checks | 4.0.0〜4.2.8p3, 4.3.0〜4.3.77 |
| 2901 | CVE-2015-7704 CVE-2015-7705 |
Clients that receive a KoD should validate the origin timestamp field. | 4.0.0〜4.2.8p3, 4.3.0〜4.3.77 |
| 2902 | CVE-2015-7703 | Configuration directives to change "pidfile" and "driftfile" should only be allowed locally. | 4.0.0〜4.2.8p3, 4.3.0〜4.3.77 |
| 2909 | CVE-2015-7701 | Slow memory leak in CRYPTO_ASSOC | autokey を使用する 4.0.0〜4.2.8p3, 4.3.0〜4.3.77 |
| 2913 | CVE-2015-7848 | TALOS-CAN-0052: mode 7 loop counter underrun | 4.0.0〜4.2.8p3, 4.3.0〜4.3.77 |
| 2916 | CVE-2015-7849 | TALOS-CAN-0054: memory corruption in password store | 4.0.0〜4.2.8p3, 4.3.0〜4.3.77 |
| 2917 | CVE-2015-7850 | TALOS-CAN-0055: Infinite loop if extended logging enabled and the logfile and keyfile are the same. | 4.0.0〜4.2.8p3, 4.3.0〜4.3.77 |
| 2918 | CVE-2015-7851 | TALOS-CAN-0062: Potential path traversal vulnerability in the config file saving of ntpd on VMS. | VMS 上の 4.0.0〜4.2.8p3, 4.3.0〜4.3.77 |
| 2919 | CVE-2015-7852 | TALOS-CAN-0063: ntpq atoascii() potential memory corruption | 4.0.0〜4.2.8p3, 4.3.0〜4.3.77 |
| 2920 | CVE-2015-7853 | TALOS-CAN-0064: Invalid length data provided by a custom refclock driver could cause a buffer overflow. | 4.0.0〜4.2.8p3, 4.3.0〜4.3.77 |
| 2921 | CVE-2015-7854 | TALOS-CAN-0065: Password Length Memory Corruption Vulnerability | 4.0.0〜4.2.8p3, 4.3.0〜4.3.77 |
| 2922 | CVE-2015-7855 | decodenetnum() will ASSERT botch instead of returning FAIL on some bogus values. | 4.0.0〜4.2.8p3, 4.3.0〜4.3.77 |
| 2941 | CVE-2015-7871 | NAK to the Future: Symmetric association authentication bypass via crypto-NAK | 4.2.5p186〜4.2.8p3, 4.3.0〜4.3.77 |
関連:
Attacking the Network Time Protocol (Boston University)。 4 種類の攻撃について。
攻撃 1, 2 (DoS CVE-2015-7704 CVE-2015-7705) は ntp-4.2.8p4 で修正。
攻撃 3 (再起動を使った時間ずらし CVE-2015-5300) は、ntpd を -g オプションつきで起動しないことで回避できる。
攻撃 4 (path MTU discovery を使ったフラグメンテーション) は 68 バイトの MTU を許可しない (最小 MTU サイズを 69 バイト以上に設定する) ことで回避できる。Linux だと min_pmtu、 Solaris だと ip_pmtu_min だそうで。
Cisco Identifies Multiple Vulnerabilities in Network Time Protocol daemon (ntpd) (Talos, 2015.10.21)
TALOS-2015-0052 - Network Time Protocol ntpd multiple integer overflow read access violations (Talos, 2015.10.21)。CVE-2015-7848
TALOS-2015-0054 - Network Time Protocol Trusted Keys Memory Corruption Vulnerability (Talos, 2015.10.21)。CVE-2015-7849
TALOS-2015-0055 - Network Time Protocol Remote Configuration Denial of Service Vulnerability (Talos, 2015.10.21)。CVE-2015-7850
TALOS-2015-0062 - Network Time Protocol ntpd saveconfig Directory Traversal Vulnerability (Talos, 2015.10.21)。CVE-2015-7851
TALOS-2015-0063 - Network Time Protocol ntpq atoascii Memory Corruption Vulnerability (Talos, 2015.10.21)。CVE-2015-7852
TALOS-2015-0064 - Network Time Protocol Reference Clock Memory Corruption Vulnerability (Talos, 2015.10.21)。CVE-2015-7853
TALOS-2015-0065 - Network Time Protocol Password Length Memory Corruption Vulnerability (Talos, 2015.10.21)。CVE-2015-7854
TALOS-2015-0069 - NAK to the Future: NTP Symmetric Association Authentication Bypass Vulnerability (Talos, 2015.10.21)。CVE-2015-7871
関連: 時刻同期のNTPに複数の脆弱性--HTTPS接続のバイパスなどを誘発 (ZDNet, 2015.10.23)
Multiple Vulnerabilities in ntpd Affecting Cisco Products - October 2015 (Cisco, 2015.10.21)
FreeBSD-SA-15:25.ntp - Multiple vulnerabilities of ntp (FreeBSD, 2015.10.26)。この patch を適用すると ntpq が異常終了するという指摘が: Bug 204046 - ntpq aborts with trap 6 (FreeBSD)。LDADD+= -lpthread で回避できる模様。
RHSA-2015:1930-1 - Important: ntp security update (Red Hat, 2015.10.26)。RHEL 6, 7 用。
山田さん情報ありがとうございます。
ntp 4.2.8p5 公開されました。
Attacking the Network Time Protocol (Boston University) の、再起動を使った時間ずらし CVE-2015-5300 の件を修正。
ntp 4.2.8p4 における CVE-2015-7704 対応によって発生した不具合を修正。
》 国交省、空港でボディスキャナー評価実験 10月から羽田と成田、関空で (Aviation Wire, 8/27)。
使用機器は米L3社の「ProVision ATD」と「ProVision 2」、独スミス ディテクション社の「eqo(エコ)」、独ローデ・シュワルツ社の「QPS2000」の3社4機種を使用する。
関空ではProvision ATD、成田ではProvision 2とeqo、QPS200、羽田ではQPS2000とProvision 2で試験を実施する。
関連:
成田でボディースキャナー試験運用 透視で不審物検査 (朝日, 10/21)。写真は関空の Provision ATD。
ボディースキャナー:「不審物も見える見える」成田空港で (毎日, 10/26)。Provision 2。
元ねた: 先進的なボディスキャナーの運用評価試験の実施について (国土交通省, 8/27)
》 パークシティLaLa 横浜方面。 JNN の報道がいちばんしっかりしているのかな。
横浜の傾斜マンション、設計段階で杭2m短く固い地盤に届かず (TBS, 10/19)
ではなぜ、杭は2メートルほど足りなかったのでしょうか。マンションを建設した三井住友建設はJNNの取材に対し、杭が2メートルほど短かったことを認めた上で、設計する際のボーリング調査にミスがあったとしました。およそ10年前の調査では、三井住友建設は、14メートルの杭でも固い地盤に刺さるはずだったと想定。しかし、実際には、固い地盤は想定より2メートル以上深かったというのです。
「ボーリング調査にミスがあった」。意図したミス (= 手抜き) なのか、そうでないのか。
三井住友建設は私たちの取材に対し、「地盤の深さの調査に失敗した。残念だ」「ただ、下請けの旭化成建材が杭を打った段階で、固い地盤に届かなかったというデータを出してくれれば、追加で杭を打てたため、問題は起きなかった」と主張しました。
おいおい、管理責任者はあなた方でしょ……。
マンション傾斜問題「設計者の責任が見逃されてる」の声も (週刊朝日, 10/26)
吉岡弁護士は「設計者の責任が見逃されている」とも語る。
「設計を担当した建築士は、現場の監理も義務付けられています。施工だけでなく、三井住友建設の建築士が設計・監理をしたとすると、監理者による施工への適正なチェック機能が働かなかった可能性があります」
三井住友建設広報室は、アエラの取材に「建築士は当社の社員」としたうえで、こう認めた。
「杭打ち現場への立ち会いは、各棟の最初の作業のときだけ。問題の杭が打たれた工期の後半は立ち会っていない」
手抜きじゃん。
マンション傾斜:くい施工、確認作業もずさん? (毎日, 10/24)
現場責任者をした経験がある別の男性によると、データの紙が雨水でぐちゃぐちゃになることはあるという。くい工事の中堅業者も「紙詰まりや紙切れもよくある」と話す。
しかし、この中堅業者は「記録を取れなければ、現場にいるゼネコンの担当者を呼び、掘削機のモーター音を聞かせるなどして確認してきた」と説明する。ドリルが支持層に当たれば、モーターの音が明らかに変わるからだ。
まっとうな人達は、こうやって現場力で対応しているわけだよなあ。
杭が設計段階で足りていなかった件の後追い報道:
三井住友建設、長さ不足くい発注 支持層浅く見込むミス (共同, 10/24)
マンション傾斜の発端は三井住友建設のミス…短いくい発注 (スポニチ, 10/25)
くい深度最大1・3メートル不足 三井住友建設、住民に説明 (産経, 10/25)。「今月9〜16日に開いた住民説明会」で開示したそうで。
施工主・三井住友建設が短い杭を発注 (NNN, 10/26)
欠陥マンション問題が他物件に広がれば、 中古市場全体が暴落の恐れも (ダイヤモンド online, 10/26)
事実、ある行政当局関係者も「三井住友建設が工事の際、杭の欠陥を認識していたかどうかは重要なポイントだ」と指摘する。
そして、このマンションが建設されたのは、複数のマンションやホテルの構造計算書を偽装したことで、日本中を震撼させた姉歯事件が起こった時期と重なる。姉歯事件の再来──。そう感じる業界関係者は少なくない。
》 LTEネットワーク、実は盗聴が容易 (日経テクノロジー online, 10/23)
eNodeBと呼ばれる基地局の背後の有線ネットワークは暗号化されていない場合がある (中略) 日本国内において移動通信網を構成する機器間の相互認証や通信の暗号化を施していない移動通信事業者があり、危険な状態
アレクシエーヴィチの本の販売について (群像社, 10/21)。「あらたに増刷することは認められない」
アレクシエーヴィチの本の販売中止について (群像社, 10/26)。「契約上、販売の権利も消失している」「小社で刊行しておりましたアレクシエーヴィチの本は3冊とも販売を中止」
世の中厳しい……。群像社、ノーベル賞倒産なんてことにならなければよいが。
》 TBSラジオ「荻上チキ・Session-22 自民党の国際情報発信を徹底検証」の反響まとめ (NAVER まとめ, 10/23)、 2015年10月22日(木)「自民党の国際情報発信を徹底検証」(取材報告モード) (TBS ラジオ Session-22, 10/22)。 自民党、brain damaged なレベル。
日本初の春画展開催へ 春画は「わいせつ」か「芸術」か? (The PAGE, 6/11)
性表現について不快感を示す人びとの存在 ー春画展に寄せてー (園田寿 / Yahoo, 10/9)
若い女性が行列…18禁「春画展」芸術かわいせつか (日刊スポーツ, 10/18)
「春画」掲載の週刊誌4誌、警視庁が口頭指導 (読売, 10/19)
警視庁が「春画」掲載の週刊誌4誌にわいせつ注意するも「週刊文春」だけはお咎めなし! その理由は… (リテラ, 10/20)
春画掲載の週刊誌で編集長が休養 ろくでなし子氏の見解は? (NEWS ポストセブン, 10/19)
春画は「わいせつ物」か「芸術」か……文春編集長の休養“処分”に波紋 (産経 / ITmedia, 10/19)
「春画」はわいせつではない! ろくでなし子、鹿島茂から、小林節までが「春画」取締まりの動きに異議! (リテラ, 10/23)
》 オーストラリアの首相を見習って、データを暗号化しよう (エフセキュアブログ, 10/21)
》 【コラム】中国脅威論への処方箋:日台専門家が提案する中国を地域安全保障の枠組みに取り込む『包含戦略』 (前編) (あべこべな世界で逆立ちすると何が見える?, 10/22)
》 <東住吉放火殺人>無実訴え20年…元被告「正義の決定」 (毎日 / Yahoo, 10/23)。大阪高裁、再審を支持。おめでとうございます。
》 特集ワイド:続報真相 戦争はもうかりますか? (毎日, 10/23)
》 Apple、MacBookの反射防止コート劣化問題に対して無償修理プログラムをひそかに開始 (スラド, 10/23)
》 英国最大のオンライン薬局、病歴などを含む個人情報を販売していた (スラド, 10/23)
CVE Request: MediaWiki 1.25.3, 1.24.4 and 1.23.11 (oss-sec ML, 2015.10.19)
Drupal Core - Overlay - Less Critical - Open Redirect - SA-CORE-2015-004 (Drupal, 2015.10.21)
》 サウジ圧死事故、死者2100人超に 各国発表を集計 (AFPBB, 10/22)。何この数字……。
》 警察における取調べの録音・録画の試行の実施状況について (警察庁, 10/5)
》 平成27年上半期の出会い系サイト及びコミュニティサイトに起因する事犯の現状と対策について (警察庁, 10/15)
》 平成27年上半期の「インターネット・ホットラインセンター」の運用状況等について (警察庁, 10/20)
》 IPv4 と IPv6 のクエリを同時に Windows Server 2012 R2 に送信する場合、Linux の DNS クライアントがドメイン名を解決できません。 (Microsoft KB 3093593)。Linux DNS クライアントが Azure 上の仮想マシンの場合。更新プログラムあり。
》 Googleに蓄積された音声検索のデータを聞く&消す方法は? (gigazine, 10/21)
》 中国がアメリカとの「サイバー協定」締結後も繰り返しサイバー攻撃を行っていることが発覚 (gigazine, 10/20)。そりゃそうだろう。
》 Google Xの配達ドローンが積み荷を運んで投下するムービーが激写される (gigazine, 10/20)
》 GoogleはAndroid 6.0 Marshmallowでディスク暗号化に再チャレンジする (gigazine, 10/21)。フルディスク暗号化の件。
》 Amazonが対価5ドルで偽レビューを売っていた1114人のユーザーを提訴 (gigazine, 10/20)
》 メモリ大手のSanDiskをHDD大手のWestern Digitalが買収、2兆円超えの大型買収に (gigazine, 10/22)
》 Appleが個人情報にアクセスしていた数百のアプリをApp Storeから削除 (techcrunch, 10/20)
アナリティクスサービスを提供するSourceDNAの調査で、これらのアプリがユーザーを特定する情報を引き抜いていたことが発覚 (中略) 問題のアプリは中国の広告会社Youmi のSDKを使用 (中略) iOS 8でプラットフォームのシリアル番号をアプリに抜き取られることを防ぐためにプライベートAPIを閉鎖していたが、Youmiは周辺機器、例えばバッテーリーシステムの情報を先に得ることでそれをかいくぐっていた
関連:
秘密裏に個人情報を収集していたとして、250以上のiOSアプリがApp Storeから削除される (gigazine, 10/20)
iOS アプリ削除の原因となった広告ライブラリ、Android アプリの開発でも利用 (シマンテック, 10/20)
》 YouTube、”Red” 契約に署名しないクリエーターのビデオを全面削除へ (techcrunch, 10/22)。帝国が牙を剥く。
関連: Google、YouTube Redを10/28から開始―音楽、映画、テレビ番組、見放題、聞き放題で月額9.99ドル (techcrunch, 10/22)
》 セミナー ご案内 「今、プライバシーとセキュリティを考える」 (エフセキュア)。2015.11.18、東京都千代田区、無料。 締切 11/5。
Oracle 四半期 patch、2015.10 版出ました。計 154 件のセキュリティ欠陥を修正。
| プロダクト | 新規欠陥修正数 | 内、リモートから無認証で 攻略できる欠陥数 |
|---|---|---|
| Oracle Database Server | 8 | 1 |
| Oracle Fusion Middleware | 23 | 16 |
| Oracle Hyperion | 1 | 0 |
| Oracle Enterprise Manager Grid Control | 5 | 3 |
| Oracle E-Business Suite | 12 | 6 |
| Oracle Supply Chain Products Suite | 8 | 3 |
| Oracle PeopleSoft Products | 8 | 1 |
| Oracle Siebel CRM | 1 | 1 |
| Oracle Industry Applications | 14 | 13 |
| Oracle Communications Applications | 9 | 8 |
| Oracle Retail Applications | 4 | 4 |
| Oracle Java SE | 25 | 24 |
| Oracle Sun Systems Products Suite | 15 | 4 |
| Oracle Pillar Axiom Virtualization | 1 | 1 |
| Oracle Virtualization | 3 | 1 |
| Oracle MySQL | 30 | 2 |
CVE-1999-0377 CVE-2010-1622 CVE-2014-0050 CVE-2014-0050 CVE-2014-0050 CVE-2014-0191 CVE-2014-1569 CVE-2014-3571 CVE-2014-3576 CVE-2014-7940 CVE-2015-0235 CVE-2015-0235 CVE-2015-0286 CVE-2015-0286 CVE-2015-0286 CVE-2015-1791 CVE-2015-1791 CVE-2015-1791 CVE-2015-1793 CVE-2015-1793 CVE-2015-1793 CVE-2015-1829 CVE-2015-2608 CVE-2015-2608 CVE-2015-2608 CVE-2015-2608 CVE-2015-2608 CVE-2015-2633 CVE-2015-2642 CVE-2015-3144 CVE-2015-4000 CVE-2015-4000 CVE-2015-4730 CVE-2015-4734 CVE-2015-4762 CVE-2015-4766 CVE-2015-4791 CVE-2015-4792 CVE-2015-4793 CVE-2015-4794 CVE-2015-4795 CVE-2015-4796 CVE-2015-4797 CVE-2015-4798 CVE-2015-4799 CVE-2015-4800 CVE-2015-4801 CVE-2015-4802 CVE-2015-4803 CVE-2015-4804 CVE-2015-4805 CVE-2015-4806 CVE-2015-4807 CVE-2015-4809 CVE-2015-4810 CVE-2015-4811 CVE-2015-4812 CVE-2015-4813 CVE-2015-4815 CVE-2015-4816 CVE-2015-4817 CVE-2015-4818 CVE-2015-4819 CVE-2015-4820 CVE-2015-4821 CVE-2015-4822 CVE-2015-4823 CVE-2015-4824 CVE-2015-4825 CVE-2015-4826 CVE-2015-4827 CVE-2015-4828 CVE-2015-4830 CVE-2015-4831 CVE-2015-4832 CVE-2015-4833 CVE-2015-4834 CVE-2015-4835 CVE-2015-4836 CVE-2015-4837 CVE-2015-4838 CVE-2015-4839 CVE-2015-4840 CVE-2015-4841 CVE-2015-4842 CVE-2015-4843 CVE-2015-4844 CVE-2015-4845 CVE-2015-4846 CVE-2015-4847 CVE-2015-4848 CVE-2015-4849 CVE-2015-4850 CVE-2015-4851 CVE-2015-4854 CVE-2015-4856 CVE-2015-4857 CVE-2015-4858 CVE-2015-4859 CVE-2015-4860 CVE-2015-4861 CVE-2015-4862 CVE-2015-4863 CVE-2015-4864 CVE-2015-4865 CVE-2015-4866 CVE-2015-4867 CVE-2015-4868 CVE-2015-4869 CVE-2015-4870 CVE-2015-4871 CVE-2015-4872 CVE-2015-4873 CVE-2015-4874 CVE-2015-4875 CVE-2015-4876 CVE-2015-4877 CVE-2015-4878 CVE-2015-4879 CVE-2015-4880 CVE-2015-4881 CVE-2015-4882 CVE-2015-4883 CVE-2015-4884 CVE-2015-4886 CVE-2015-4887 CVE-2015-4888 CVE-2015-4890 CVE-2015-4891 CVE-2015-4892 CVE-2015-4893 CVE-2015-4894 CVE-2015-4895 CVE-2015-4896 CVE-2015-4898 CVE-2015-4899 CVE-2015-4900 CVE-2015-4901 CVE-2015-4902 CVE-2015-4903 CVE-2015-4904 CVE-2015-4905 CVE-2015-4906 CVE-2015-4907 CVE-2015-4908 CVE-2015-4909 CVE-2015-4910 CVE-2015-4911 CVE-2015-4912 CVE-2015-4913 CVE-2015-4914 CVE-2015-4915 CVE-2015-4916 CVE-2015-4917
Java SE 8 Update 65/66 の件:
Java SE Downloads (Oracle)
リリースノート: 8u65 Update Release Notes、 8u66 Update Release Notes
[Java] Java SE 8u65とJava SE 8u66の違い (Oracle Blogs 日本語のまとめ, 2015.10.21)
2015年10月 Oracle Java SE のクリティカルパッチアップデートに関する注意喚起 (JPCERT/CC, 2015.10.21)
Javaの「Click-to-Play」を回避する脆弱性「CVE-2015-4902」、「Pawn Storm 作戦」で利用される (トレンドマイクロ セキュリティ blog, 2015.10.22)
「SHA-1の廃止前倒しを」 専門家チームが提言 (2015.10.13)
Continuing to Phase Out SHA-1 Certificates (Mozilla Security Blog, 2015.10.20)
We are re-evaluating when we should start rejecting all SHA-1 SSL certificates (regardless of when they were issued). As we said before, the current plan is to make this change on January 1, 2017. However, in light of recent attacks on SHA-1, we are also considering the feasibility of having a cut-off date as early as July 1, 2016.
》 クレジットカードのICチップセキュリティを突破した驚愕の手法とは? (gigazine, 10/21)。別のチップをはんだづけ。
》 20周年を迎えたOpenBSD、「OpenBSD 5.8」を公開 (OSDN, 10/20)
》 Chromeそっくりのデザインと挙動でユーザーが気づかないうちにブラウザを置き換える「eFast Browser」 (gigazine, 10/19)
》 IBM、一部製品のソースコード開示で中国政府と合意か (日経 IT Pro, 10/19)
》 「Google Booksは著作権法に違反せず」米控訴裁、地裁判断を支持 (日経 IT Pro, 10/19)。フェアユースの範囲内とする判決。
》 Appleに賠償金2億ドル超の支払い命令、特許侵害訴訟で (日経 IT Pro, 10/19)。A7・A8・A8X の件、金額が出たようで。「2億3400万ドルの賠償金」。gigazine の記事では「8億6200万ドル(約1030億円)を支払うこととなりそう」だったので、だいぶ減ってはいる。
》 辺野古の環境監視4委員、業者側から寄付・報酬 (朝日, 10/19)、 辺野古の移設関連受注業者、チェック役の運営業務も受注 (朝日, 10/20)
》 失踪の外国人実習生 400人余が難民申請 (NHK, 10/18)。「外国人技能実習制度」がそもそもおかしいわけで。
》 オウム麻原三女「入学拒否事件」初の手記。和光大での討論は実現するか (篠田博之 / Yahoo, 10/17)
》 空き巣犯映像、誤って消去 防犯カメラの証拠、佐賀県警 (東京, 10/20)。ケーサツに渡す前にバックアップしておきましょう。
》 ネット広告業界団体、「重く侵襲的な広告」の増加でユーザーの信頼を失ったことを認める (スラド, 10/20)
》 「尖閣は琉球の一部」姿勢揺らいだ米国 政府公文書分析 (朝日, 10/20)、 尖閣諸島の帰属、原点をたどる 米公文書5千枚を分析 (朝日, 10/20)
パスワード管理ツール「1Password」は平文のメタデータから個人情報を盗みとられるおそれ (2015.10.19)
元ネタを読む必要があったようです: 1Password Leaks Your Data (Dale Myers, 2015.10.22)
1Password originally only used the “Agile Keychain” format to store their data (not including when they were OS X keychain only). (中略) Well, in December 2012, AgileBits changed the format of their keychain from the Agile Keychain, to OPVault. (中略)
Let me summarise: Do not use the Agile Keychain format. It leaks your data. If you are using it, convert it to the OPVault format immediately
Agile Keychain フォーマットには仕様上の欠陥があるので、新しい OPVault フォーマットに移行しましょう、と。
Dridex の取り締まりで、ボットネット感染をシンクホールに捕捉 (シマンテック, 10/14)
FBI、セキュリティ企業と協力して「DRIDEX」に利用されたC&Cネットワークを閉鎖 (トレンドマイクロ セキュリティ blog, 10/16)
Dridex Takedown (F-Secure blog, 10/15)、 Dridexの解体 (エフセキュアブログ, 10/15)
Dridex botnet taken down, multi-million bank fraud suspect arrested (Sophos, 10/15)
》 昨年スマートテレビを購入した消費者の割合は、デスクトップPC購入者の割合に匹敵 (エフセキュアブログ, 10/15)
》 このツール知らなきゃ損、DISKSPD (山市良のえぬなんとかわーるど, 10/8)
》 「米国はプライバシー保護不適合」EU判決でネット騒然 (新聞紙学的, 10/17)、“セーフハーバー”に関する判決が、“旧世界”と“新世界”を分ける (エフセキュアブログ, 10/16)、EU司法裁判所、個人情報の移転に驚きの判決 (Kaspersky, 10/19)。セーフハーバー協定は無効。
旭化成建材(株)の施工物件における施工不具合および杭工事施工報告書のデータの転用・加筆について (旭化成, 10/14)
旭化成建材(株)の杭工事施工物件でのその後の調査結果について (旭化成, 10/16)
弊社分譲済の横浜市所在マンションにおける杭工事不具合について (三井不動産レジデンシャル, 10/16)
当社分譲済の横浜市所在マンションにおける一部杭の不具合対応について (三井不動産レジデンシャル, 10/19)
杭打ちのデータ改ざん、傾くマンションに住み続けるか否か (日経 BP, 10/19)。3ページ目にある読者コメントがたいへん興味深い。 以下は(元ゼネ 2015/10/19 08:56)氏の書き込み。
横浜の地域性を、感じます。
六会コンクリートとか、とかく杭、コンクリート関連の問題が横浜に集中してる気が。
杭長の不足や杭芯の大幅なズレなど、自主検査で発覚し、間一髪で対応したため、顕在化しなかった事例が沢山あった記憶があります。
あと、(2015/10/19 12:29)氏の書き込み。
10月19日から地盤を再調査するとのNHKニュースで、傾斜したマンションに近接してスウェーデン式サウンディングを実施している画像が確認されましたが。
対象の高層建築物のために安定した支持地盤の層厚を確認する調査手法として、スウェーデン式を採用することが信じられません。
ボーリング調査による標準貫入試験で、支持層の強度と層厚分布状態を確認する必要があると、だれもが考えることです。
スウェーデン式の能力で、高層建築物の強固な支持層分布の深度と層厚は確認出来ません。
本来、傾いたマンションの直下でボーリング調査を適切に実施しているのでしょうか。その当たりが、公表されておらず、杭施工確認の是非だけが 注目されていることが、不思議です。
そもそもの地盤調査がアレだったんじゃね? という疑いがあるようで。
マンションを傾斜させた旭化成建材の罪深い行為 (日経 BP, 10/16)
「今回はボーリング費用を節約するために、あるいは工期がきつかったために、全数調査をしていなかったと思われます。ボーリング費用に1カ所15万円かかると仮定すると、52カ所で780万円かかるのに、20カ所だけ調査したとすると、費用は300万円で済んだ計算になります」
数百万をケチっておおわらわ、ですか。
傾いたマンションで暮らす友人に緊急アドバイス (日経 BP, 10/19)。今後の対応について。
住友不動産が分譲した横浜市西区のマンション「パークスクエア三ツ沢公園」の住棟で、建物を支える杭の一部が固い支持層まで届かず、建物が傾斜している問題はその後、どうなったのでしょうか。
これについては、管理組合が2014年11月28日に、「違反建築物問題ボーリング調査結果報告及び瑕疵原因報告に関する管理組合見解」というプレスリリースを発行したことまでは分かっています (中略) プレスリリース全体に目を通すと、欠陥問題に巻き込まれると管理組合と住民が、悲惨な状況に追い込まれるのかが分かります。それを避けるには「呉越同舟」方式の連絡協議会をつくり、かつ情報を公開して社会の支援を得なければならないのです。
多くのマンショントラブルを取材してきた私から見ると、現時点では三井不レジおよび旭化成建材の対応は、4「どちらかというと良い」あるいは5「良い」へと変化したように感じています。この流れをとらえなければ、問題はなかなか解決しません。
管理組合の皆さん。「鉄は熱いうちに打て」「呉越同舟」のことわざに従って、長ければ数年間続くかもしれない難局を乗り切ってください。その先には「禍いを転じて福となす」という状態が待っているはずです。
「姉歯事件」より重大・深刻な「マンションデータ偽装問題」 (郷原信郎が斬る, 10/19)
》 噴火警戒レベル:研究者「機能せず」41% 本紙調査 (毎日, 10/18)、 記者の目:御嶽山噴火から1年=久野華代(科学環境部) (毎日, 10/6)
》 volunteer と ”ボランティア”、オリンピック (togetter, 10/17)。この構図、「24 時間テレビ」でも同じなんだよな。
》 アメリカはドローンで、ターゲットではない人を殺していた(最新報告) (ハフィントンポスト, 10/16)。 The Drone Papers (The Intercept) の件。
》 WEB系各社で使われている監視ツールまとめ (mikedaの日記, 10/17)。いろいろあるんだなあ。
》 【木村草太の憲法の新手】(18)組体操を考える(上) 「タワー」は違法に等しい (沖縄タイムス, 10/18)
二つの判決は、(1)一つ一つのタワーやピラミッドごとに十分な監視者を配置し、(2)不安定な部位が生じた場合には即座に中止・分解する準備をし、(3)崩落時の危険を回避する特別の対策を採ることを要求する。
しかし、(1)教員の数は限られているから一つ一つのタワー等を精密に監視することは非現実的だ。また、(2)一体感と感動が過剰に求められる組体操の場面で、土台が不安定だから中止しろと冷徹な指示を出すことは心理的に極めて難しい。さらに、(3)タワー等が崩落したときに、それを支える特別の方法など、そもそも存在しない。とすれば、裁判所が要求する注意義務を果たすことは不可能だ。
つまり、裁判所は、組体操でタワーやピラミッドをやること自体が違法だとするに等しい判決を書いている。
》 「心から感動」「身震いする思い」「ムンセンミョン総裁」「真(まこと)の親方様」現職の自民党国会議員が統一教会名称変更出帆式で来賓挨拶 (やや日刊カルト新聞, 10/13)。名前が出ているのは鳩山邦夫、亀井静香、工藤彰三、鈴木克昌、松田学。自民党だけじゃない。
》 シェルが北極海の油田探査を停止――8400億円損の裏側には[佐藤 潤一] (alterna, 10/1)
》 特集ワイド:アベノミクス第2ステージ 「新三本の矢」は中身空っぽ? (毎日, 10/19)。はい。
》 説得力欠く首相の方針 「介護離職ゼロ」 (中日, 10/8)
だが、本当にやる気があるのかと首をかしげざるを得ない。というのも、首相は就任以来、一貫して介護保険サービスの縮小を進めてきたからだ。
》 クルマのハッキング対策カンファレンス「escar Asia 2015」リポート (@IT, 10/13)
》 “菅官房長官語”の非人間性を証明! 菅の常套句で返せばネトウヨも絡む気なくす! 想田和弘監督の実験が証明した“菅官房長官語”の非人間性 (リテラ, 10/14)
》 自衛官志願2割減、07年度以降最少 安保関連法影響か 防衛省「民間求人回復」 (北海道新聞, 10/14)
》 アダルト動画サイトでウイルス拡散、日本のネットバンク利用者を金融庁の偽サイトへ誘導する目的 (Internet Watch, 10/16)
》 東ドイツのスパイ本部、秘密警察Stasi(シュタージ)の博物館に行ってきた! (wsbi, 9/3)。そんなのあるんだ。 そういえば、シュヴァルツェスマーケンのアニメが 2016.01 から放映されるのだそうで。
》 米海軍兵学校、天測航法の授業を復活 (スラド, 10/17)。GPS が駄目になった時用。
》 iPhoneのイヤホンケーブルに電磁波を照射して音声操作を行わせることに成功 (スラド, 10/19)
》 なぜ?アマゾンではニセモノが販売されてしまうのか? (神田敏晶 / Yahoo, 2014.12.26)。フルフィルメント by Amazon(FBA) の件。
アマゾンに入庫する際に、悪意ある事業者が、似ている商品を入庫するのは、いともカンタンなのだ。商品名とバーコードさえ一致させればいいだけだ。(中略) 悪徳業者がニセモノをアマゾンの倉庫に入庫する。ユーザーがアマゾンから商品を選び、その中からセラーも選び注文をする。正規品が届くこともあれば、ニセモノが届くこともある。
マジか……。
Firefox 41.0 / ESR 38.3.0 公開 (2015.09.24)
Firefox 41.0.2、Android 版 Firefox 41.0.2 が公開されています。MFSA 2015-115: Fetch を用いたクロスオリジン制限回避 が修正されています。Firefox ESR 38.3.0 にはこの欠陥はありません。
Qualys Security Advisory - LibreSSL (CVE-2015-5333 and CVE-2015-5334) (oss-sec ML, 2015.10.15)。LibreSSL 2.3.0 も影響を受けるとされている。
OpenBSD 5.8 errata 7, Oct 15, 2015。 LibreSSL 2.2.4, 2.1.8, 2.0.6 用。LibreSSL 2.3.0 は snapshot release だから patch が用意されてないのかな。
Security Advisory: Stored XSS in Akismet WordPress Plugin (sukuri, 2015.10.14)
JVN#84982142: 島根県CMS における SQL インジェクションの脆弱性 (JVN, 2015.10.09)。2.0.0 の欠陥。最新版で修正されている。
JVNDB-2015-005311: FortiOS におけるシェルアクセス権を取得される脆弱性 (JVN, 2015.10.10)。FortiOS 5.2.3 のみの欠陥。5.2.4 で修正されている。
1Password に仕様上の欠陥だそうです。
メタデータまで暗号化すると、データにアクセスする際にはすべてのメタデータを復号化してから必要なデータを検索することになり、動作が重くなるためこのようなメタデータは暗号化されないという仕様が採用された
元ネタを読む必要があったようです: 1Password Leaks Your Data (Dale Myers, 2015.10.22)
1Password originally only used the “Agile Keychain” format to store their data (not including when they were OS X keychain only). (中略) Well, in December 2012, AgileBits changed the format of their keychain from the Agile Keychain, to OPVault. (中略)
Let me summarise: Do not use the Agile Keychain format. It leaks your data. If you are using it, convert it to the OPVault format immediately
Agile Keychain フォーマットには仕様上の欠陥があるので、新しい OPVault フォーマットに移行しましょう、と。
Flash Player 更新。 Adobe Flash Playerのゼロデイ攻撃を最新の標的型サイバー攻撃キャンペーン「Pawn Storm作戦」で確認 (2015.10.14) の件などを修正。 CVE-2015-7645 CVE-2015-7647 CVE-2015-7648
Priority rating:
| プラットホーム | Priority rating |
|---|---|
| Linux 版 Flash Player | 3 |
| 他 | 1 |
以下が最新:
| プラットホーム | バージョン |
|---|---|
| Desktop Runtime (Windows, Mac) | 19.0.0.226 |
| Extended Support Release (Windows, Mac) | 18.0.0.255 |
| Google Chrome (Windows, Mac) | 19.0.0.226 |
| Google Chrome (Linux, Chrome OS) | 19.0.0.226 |
| Windows 8 / Server 2012 / RT の Internet Explorer 10 | 19.0.0.226 |
| Windows 8.1 / Server 2012 R2 / RT 8.1 の Internet Explorer 11 | 19.0.0.226 |
| Windows 10 の Internet Explorer 11 / Edge | 19.0.0.226 |
| Linux | 11.2.202.540 |
関連:
APSB15-27 - Adobe Flash Player に関するセキュリティアップデート公開 (Adobe, 2015.10.16)
》 グリーンピース船「虹の戦士号」、沖縄へ —辺野古の海を埋め立てからまもるために− (グリーンピース, 10/15)
》 マイナンバー、国の配慮ない姿勢に異議あり なぜコールセンターが有料でしかも高いのか (東洋経済, 10/13)。ひでえ。
》 Windows Updateすると勝手にWindows7/8がWindows10にアップグレードされるエラーが発生 (gigazine, 10/16)。ひでえ。
》 The Drone Papers (The Intercept)
》 成田空港・中部空港のHPにDDoS攻撃か ハッカー集団「アノニマス」が犯行声明 (クリスチャントゥデイ, 10/17)、 アノニマス、成田・中部空港以外にも日本サイト相次いで攻撃 捕鯨抗議か (クリスチャントゥデイ, 10/17)
》 USBポートに挿すと数秒でPCを起動不能にしてしまう「USB Killer」が実際にPCを破壊するムービーが公開 (gigazine, 10/15)
》 平成27年度SINET及び学認・UPKI証明書説明会 (国立情報学研究所)。11/4〜12/7。
》 LA FACE CACHÉE DE SHINZO ABE:アベシンゾーの隠された顔 (PAGES D'ECRITURE, 6/10)
》 その男、高木毅 (衆議院議員・福井2区、復興大臣・福島原発事故再生総括担当大臣)
安倍内閣の新閣僚に「下着ドロボー」の過去! 警察で取り調べ受けるも敦賀市長の父親と原発利権の力でもみ消し (リテラ, 10/15)
復興相「お答え控える」 30年前下着窃盗と週刊誌報道 (朝日, 10/16)。否定しないんだ……。
》 [文谷数重]【南シナ海で中国をけん制するウルトラC】〜“潜水艦救難艦”のベトナム供与〜 (Japan In-depth, 10/7)
》 [文谷数重]【太平洋で日本海軍力に対抗できぬ中国】〜哨戒機が登場しなかった軍事パレード〜 (Japan In-depth, 9/5)
》 220Vの電圧でコンピューターを破壊する危険なUSBメモリ(追記あり) (gizmodo, 10/15)。“USB killer v2.0”。
一見無害に見えるフラッシュドライブですが、USBポートを破壊するだけでなく、そのコンピューターのマザーボードやプロセッサー、さらには他の接続された部品まで壊していく恐ろしい可能性を秘めているのです (中略) くれぐれも見知らぬフラッシュドライブを発見しても、それを拾ったり、ましてや中身のデータを確かめてみようなんて思わないでください。
Adobe Flash Playerのゼロデイ攻撃を最新の標的型サイバー攻撃キャンペーン「Pawn Storm作戦」で確認 (2015.10.14)
修正版が、来週 (10/19 の週) 中に公開される予定だそうです。
APSA15-05 - Adobe Flash Playerに関するセキュリティ情報 (Adobe, 2015.10.14)
……でしたが、10/16 (US 時間) に公開されることになったそうです。
APSA15-05 - Security Advisory for Adobe Flash Player (Adobe, 2015.10.15 更新)
October 15: Updated the expected delivery of new Flash Player updates to October 16.
APSB15-25 - Security updates available for Adobe Flash Player (2015.10.14)
修正版が、来週 (10/19 の週) 中に公開される予定だそうです。
APSA15-05 - Adobe Flash Playerに関するセキュリティ情報 (Adobe, 2015.10.14)
……でしたが、10/16 (US 時間) に公開されることになったそうです。
APSA15-05 - Security Advisory for Adobe Flash Player (Adobe, 2015.10.15 更新)
October 15: Updated the expected delivery of new Flash Player updates to October 16.
》 アレクシエーヴィチの本について (群像社ネットショップ, 10/14)。「『戦争は女の顔をしていない』は20日から受け付け再開します」。もうちょっと待ちましょう。 関連:
群像社、『戦争は女の顔をしていない』を1000部重版 (新文化, 10/13)。「10月21日に取次搬入する」。
2015年のノーベル文学賞に選ばれたベラルーシのスベトラーナ・アレクシエーヴィチと、その代表作『戦争は女の顔をしていない』について (togetter, 10/9)
日本で最も読まれているアレクシーエヴィチの『戦争は女の顔をしていない』、出版元の群像社、島田編集長へのインタビュー (スプートニク, 10/9)
》 早くも問題多発!?マイナンバー関連のトラブルまとめ (NAVER まとめ, 10/14)
》 米国が南シナ海人工島12海里内へ海軍派遣を計画か (海国防衛ジャーナル, 10/9)、 南シナ海の中国人工島12海里内へ米海軍派遣か:専門家の見方 (海国防衛ジャーナル, 10/14)
》 Windows 10 対応の EMET 5.5 Beta 出てました。 (山市良のえぬなんとかわーるど, 10/6)
》 NPO法人POSSE事務局長らが大学で偽装勧誘の“お手伝い” (やや日刊カルト新聞, 9/28)
POSSE関係者が行っている学生サークルの勧誘手法が団体の素性を隠したものであることは、本紙の取材からすでに確認されています。POSSEをカルトと呼ぶかどうかはともかくとしても、学生に注意を促す必要はありそうです。
》 週刊朝日に『第3次安倍改造政権 支える宗教』掲載=統一教会の名称変更に政治家の影? (やや日刊カルト新聞, 10/12)
》 時事解説: ギニアにおけるエボラ出血熱の流行をめぐる「知」の流通と滞留 (IDE Jetro, 10/6)
》 LINEがエンドツーエンドの暗号化をメッセージアプリに実装する (techcrunch, 10/13)
》 世界初の「キーロガー」は旧ソ連がアメリカ大使館のタイプライターに組み込んだものだった (gigazine, 10/14)
》 原子力規制委 文書管理簿を3年公表せず (NHK「かぶん」ブログ, 10/10)
》 What’s New with Microsoft Threat Modeling Tool 2016 (Microsoft Cyber Trust Blog, 10/7)
》 2015年上半期・国内標的型サイバー攻撃の分析 (トレンドマイクロ)
2015年上半期・国内標的型サイバー攻撃の分析 Part 1 (トレンドマイクロ セキュリティ blog, 9/25)
2015年上半期・国内標的型サイバー攻撃の分析 Part 2 (トレンドマイクロ セキュリティ blog, 10/1)
2015年上半期・国内標的型サイバー攻撃の分析 Part 3 (トレンドマイクロ セキュリティ blog, 10/8)。EMDIVI の件。
2015年上半期・国内標的型サイバー攻撃の分析 Part 4 (トレンドマイクロ セキュリティ blog, 10/16)
》 不正広告が約3,000 の国内大手サイトを汚染、50万ユーザに影響 (トレンドマイクロ, 10/1)
》 [Announce] GnuPG 2.1.9 released (GNU, 10/10)
》 「Xen 4.6」公開、多数の機能強化や新機能追加が行われる (OSDN, 10/15)
》 [AD Blog]Azure Authenticator が iOS Touch ID をサポート (Technical Evangelist - Junichi Anno's, 10/8)
》 Simplifying the Page Security Icon in Chrome (Google, 10/13)。Chrome 46 から「HTTPS with minor errors」の場合のアイコンを変更。
》 iPhone5s/6/6 PlusのCPUに特許違反が認められたAppleが巨額の賠償金で大ピンチに (gigazine, 10/14)。A7、A8、A8X における特許侵害を認定。
なお、WARFは2015年9月にAppleに対する2件目の訴訟を起こしており、iPhone 6S/6S Plus/iPad Proに使われているA9、A9Xという2つのプロセッサーによる特許侵害を主張しています。
2 発目も発射済ですか。
》 日本サイバー犯罪アンダーグラウンドの実態調査 (トレンドマイクロ セキュリティ blog, 10/13)
》 2015年10月に複数のWebサイトで発生した閲覧障害についてまとめてみた (piyolog, 10/10)
》 韓国のソウルメトロが受けた不正アクセスをまとめてみた (piyolog, 10/9)
》 Twitter、全社員8%規模のリストラを計画中 (techcrunch, 10/14)
》 NHK小野文惠アナ「何が楽しいんでしょう?」 人間ピラミッドを一蹴。 (Techinsight / BIGLOBE, 10/11)。人間ピラミッドを、じゃなくて、学校体育を、だな。その気持ちはよくわかる。
》 幼稚園で「6段」のピラミッド 低年齢化する巨大組体操 (内田良 / Yahoo, 10/9)。幼稚園児にやらせることじゃないだろ……。めちゃくちゃだ。
》 「安全な組体操」の実現に向けて 馳浩文部科学大臣に組体操の段数制限を求めます (Change.org)
》 運動会「むかで競走」でも重症 1年で2205件 482人が骨折 (togetter, 10/13)
Flash Player への 0-day 攻撃を確認。↓ の最新版 Flash Player 19.0.0.207 も影響を受ける。
緩和策:
Windows標準の機能を使用した標的型攻撃の対策 ドライブ・バイ・ダウンロード編 #ssmjp /ssmjp1507-2 p.27 (Takuji Kitagawa / Speaker Deck, 2015.08.11)。 Chrome / Firefox / IE での Flash Player click-to-play の設定方法。
脆弱性緩和ツール EMET
EMET 5.2 公開しました (日本のセキュリティチーム, 2015.03.18)
Flash の脆弱性 と EMET (山市良のえぬなんとかわーるど, 2015.07.14)
EMET の推奨設定のアプリの緩和策設定(Recommended Software.xml)では、Internet Explorer の ASR の設定に Flash の ActiveX コントロールは対象になっていません。(中略) 例えば、Internet Explorer の場合は、次のように ASR の対象モジュールとして Flash*.ocx を追加設定してあげない限り、ASR は Flash が悪さしれてもスルーします。
Windows 10 対応の EMET 5.5 Beta 出てました。 (山市良のえぬなんとかわーるど, 2015.10.06)
修正版が、来週 (10/19 の週) 中に公開される予定だそうです。
APSA15-05 - Adobe Flash Playerに関するセキュリティ情報 (Adobe, 2015.10.14)
……でしたが、10/16 (US 時間) に公開されることになったそうです。
APSA15-05 - Security Advisory for Adobe Flash Player (Adobe, 2015.10.15 更新)
October 15: Updated the expected delivery of new Flash Player updates to October 16.
APSB15-27 - Security updates available for Adobe Flash Player (Adobe, 2015.10.16) で修正されました。
Flash Player / AIR 更新版公開。13 件のセキュリティ欠陥を修正。 CVE-2015-5569 CVE-2015-7625 CVE-2015-7626 CVE-2015-7627 CVE-2015-7628 CVE-2015-7629 CVE-2015-7630 CVE-2015-7631 CVE-2015-7632 CVE-2015-7633 CVE-2015-7634 CVE-2015-7643 CVE-2015-7644
Priority rating:
| プラットホーム | Priority rating |
|---|---|
| Linux 版 Flash Player | 3 |
| AIR | 3 |
| 他 | 1 |
以下が最新:
| プラットホーム | バージョン |
|---|---|
| Desktop Runtime (Windows, Mac) | 19.0.0.207 |
| Extended Support Release (Windows, Mac) | 18.0.0.252 |
| Google Chrome (Windows, Mac) | 19.0.0.207 |
| Google Chrome (Linux, Chrome OS) | 19.0.0.207 |
| Windows 8 / Server 2012 / RT の Internet Explorer 10 | 19.0.0.207 |
| Windows 8.1 / Server 2012 R2 / RT 8.1 の Internet Explorer 11 | 19.0.0.207 |
| Windows 10 の Internet Explorer 11 / Edge | 19.0.0.207 |
| Linux | 11.2.202.535 |
| AIR Desktop Runtime | 19.0.0.213 |
| AIR SDK | 19.0.0.213 |
| AIR SDK & Compiler | 19.0.0.213 |
関連:
Adobe Flash Player の脆弱性 (APSB15-25) に関する注意喚起 (JPCERT/CC, 2015.10.14)
しかし、この最新版でも対応できない 0-day 攻撃が発生しているので注意。
修正版が、来週 (10/19 の週) 中に公開される予定だそうです。
APSA15-05 - Adobe Flash Playerに関するセキュリティ情報 (Adobe, 2015.10.14)
……でしたが、10/16 (US 時間) に公開されることになったそうです。
APSA15-05 - Security Advisory for Adobe Flash Player (Adobe, 2015.10.15 更新)
October 15: Updated the expected delivery of new Flash Player updates to October 16.
ネットギアの一部ルータに深刻な脆弱性 (ZDNet, 2015.10.14)
JNR1010v2 / WNR614 / WNR618 / JWNR2000v5 / WNR2020 / JWNR2010v5 / WNR1000v4 / WNR2020v2 Firmware Version 1.1.0.32 (NETGEAR, 2015.10.12)
2015-10-08 Security Update Release (PostgreSQL, 2015.10.08)。PostgreSQL 9.4.5, 9.3.10, 9.2.14, 9.1.19, 9.0.23 公開。2 件のセキュリティ欠陥を修正。
Chrome 46.0.2490.71 公開。24 件のセキュリティ修正を含む。
Microsoft 2015.10 セキュリティ更新プログラム公開。
MS15-106 - 緊急: Internet Explorer 用の累積的なセキュリティ更新プログラム (3096441)
IE 7〜11 に 14 件のセキュリティ欠陥。
スクリプト エンジンのメモリ破損の脆弱性 - CVE-2015-2482 CVE-2015-6055 CVE-2015-6056。 Exploitability Index: 1
スクリプト エンジンの情報漏えいの脆弱性 - CVE-2015-6059。 Exploitability Index: 2
Internet Explorer のメモリ破損の脆弱性 - CVE-2015-6042 CVE-2015-6048 CVE-2015-6049 CVE-2015-6050。 Exploitability Index: 1
Internet Explorer 特権の昇格の脆弱性 - CVE-2015-6044 CVE-2015-6047 CVE-2015-6051。 Exploitability Index: CVE-2015-6044 だけ 2、他は 1
Internet Explorer の情報漏えいの脆弱性 - CVE-2015-6046 CVE-2015-6053。 Exploitability Index: CVE-2015-6046 は 2、CVE-2015-6053 は 1
VBScript および JScript ASLR バイパス - CVE-2015-6052。 Exploitability Index: 2
Microsoft Edge に 2 件のセキュリティ欠陥。
Microsoft Edge の情報漏えいの脆弱性 - CVE-2015-6057。 Exploitability Index: 3
Microsoft Edge の XSS フィルター バイパス - CVE-2015-6058。 Exploitability Index: 3
MS15-108 - 緊急: リモートでのコード実行に対処する JScript および VBScript 用のセキュリティ更新プログラム (3089659)
JScript 5.7 / VBScript 5.7 (IE 7)、JScript 5.8 / VBScript 5.8 (IE 8) に 4 件のセキュリティ欠陥。
スクリプト エンジンのメモリ破損の脆弱性 - CVE-2015-2482 CVE-2015-6055 CVE-2015-6059。 Exploitability Index: CVE-2015-6059 だけ 2、他は 1
VBScript および Jscript ASLR バイパス - CVE-2015-6052。 Exploitability Index: 2
IE 9 / 10 / 11 用の JScript 5.8 / VBScript 5.8 には、これらの欠陥はない。
MS15-109 - 緊急: リモートでのコード実行に対処する Windows Shell 用のセキュリティ更新プログラム (3096443)
Windows Vista / Server 2008、7 / Server 2008 R2、8・8.1 / Server 2012・2012 R2、10 に 2 件のセキュリティ欠陥。
ツール バーの解放後使用の脆弱性 - CVE-2015-2515。 Exploitability Index: 1
Microsoft タブレット入力バンドの解放後使用の脆弱性 - CVE-2015-2548。 Exploitability Index: 1
MS15-110 - 重要: リモートでのコード実行に対処する Microsoft Office 用のセキュリティ更新プログラム (3096440)
Excel 2007 / 2010 / 2013 / 2016、Excel for Mac 2011 / 2016、 Visio 2007 / 2010、Excel Viewer、Office 互換機能パック Service Pack 3、 SharePoint Server 2007 / 2010 / 2013、 Office Web Apps 2010 / 2013 に 6 件のセキュリティ欠陥。
Microsoft Office のメモリ破損の脆弱性 - CVE-2015-2555 CVE-2015-2557 CVE-2015-2558。 Exploitability Index: 2
Microsoft SharePoint の情報漏えいの脆弱性 - CVE-2015-2556。 Exploitability Index: 3
Microsoft Office Web Apps XSS のなりすましの脆弱性 - CVE-2015-6037。 Exploitability Index: 3
Microsoft SharePoint のセキュリティ機能のバイパスの脆弱性 - CVE-2015-6039。 Exploitability Index: 3
MS15-111 - 重要: 特権の昇格に対処する Windows カーネル用のセキュリティ更新プログラム (3096447)
Windows Vista / Server 2008、7 / Server 2008 R2、8・8.1 / Server 2012・2012 R2、10 に 5 件のセキュリティ欠陥。
Windows カーネル メモリの破損の脆弱性 - CVE-2015-2549。 Exploitability Index: 2
Windows の特権の昇格の脆弱性 - CVE-2015-2550。 Exploitability Index: 2
トラスト ブートのセキュリティ機能のバイパスの脆弱性 - CVE-2015-2552。 Exploitability Index: 2
Windows マウント ポイントの特権の昇格の脆弱性 - CVE-2015-2553 CVE-2015-2554 。 Exploitability Index: 1
なお、WEPOS / POSReady 2009 用としては、 3093983 (MS15-106)、 3094996 (MS15-108)、 3080446 (MS15-109) が公開されているようだ。
関連:
2015 年 10 月のセキュリティ情報 (月例) – MS15-106 〜 MS15-111 (日本のセキュリティチーム, 2015.10.14)
マイクロソフト月例パッチ(Microsoft Patch Tuesday)- 2015 年 10 月 (シマンテック, 2015.10.14)
Adobe Reader / Acrobat 更新版公開。56 件のセキュリティ欠陥を修正。 CVE-2015-5583 CVE-2015-5586 CVE-2015-6683 CVE-2015-6684 CVE-2015-6685 CVE-2015-6686 CVE-2015-6687 CVE-2015-6688 CVE-2015-6689 CVE-2015-6690 CVE-2015-6691 CVE-2015-6692 CVE-2015-6693 CVE-2015-6694 CVE-2015-6695 CVE-2015-6696 CVE-2015-6697 CVE-2015-6698 CVE-2015-6699 CVE-2015-6700 CVE-2015-6701 CVE-2015-6702 CVE-2015-6703 CVE-2015-6704 CVE-2015-6705 CVE-2015-6706 CVE-2015-6707 CVE-2015-6708 CVE-2015-6709 CVE-2015-6710 CVE-2015-6711 CVE-2015-6712 CVE-2015-6713 CVE-2015-6714 CVE-2015-6715 CVE-2015-6716 CVE-2015-6717 CVE-2015-6718 CVE-2015-6719 CVE-2015-6720 CVE-2015-6721 CVE-2015-6722 CVE-2015-6723 CVE-2015-6724 CVE-2015-6725 CVE-2015-7614 CVE-2015-7615 CVE-2015-7616 CVE-2015-7617 CVE-2015-7618 CVE-2015-7619 CVE-2015-7620 CVE-2015-7621 CVE-2015-7622 CVE-2015-7623 CVE-2015-7624
以下が最新:
| 名称 | トラック | バージョン |
|---|---|---|
| Acrobat DC / Acrobat Reader DC | Continuous | 2015.009.20069 |
| Classic | 2015.006.30094 | |
| Acrobat XI / Adobe Reader XI | Desktop | 11.0.13 |
| Acrobat X / Adobe Reader X | Desktop | 10.1.16 |
Priority Rating はいずれも 2。
関連:
Adobe Reader および Acrobat の脆弱性 (APSB15-24) に関する注意喚起 (JPCERT/CC, 2015.10.14)
》 サーバの水冷却方式に“不都合な真実”、水不足で批判相次ぐ (ITmedia, 10/13)
》 Firefox、NPAPIプラグインのサポートを2016年内に終了 (ITmedia, 10/13)。「ただしFlash Playerだけは例外」。
》 その男、中安一幸 (厚生労働省情報政策担当参事官室 室長補佐)。 業界では有名な方のようで。
マイナンバー導入 業務発注巡り収賄容疑 厚労省担当者を逮捕 (NHK, 10/13)
収賄容疑:厚労省室長補佐を逮捕 マイナンバー関連で便宜 (毎日, 10/13)
マイナンバーのシステムで収賄容疑、厚労省補佐を逮捕 (朝日, 10/13)
捜査関係者によると、中安容疑者はこの業者から他にも現金を受け取っているといい、総額は数百万円に上るとみられるという。
》 Adobe、Acrobat/Readerのセキュリティアップデートを予告、米国時間13日に公開 (Internet Watch, 10/9)。明日。
》 オリンピック東京都ロゴ (1億3000万円 by 博報堂)
オリンピックに向けて1億3千万円かけたロゴ、速攻でパクリが見つかる。デザイナーは五輪エンブレムで炎上した博報堂の永井一史 (netgeek, 10/10)。似ている。
【炎上】東京五輪の「&TOKYO」のコンセプトがGoogleアンドロイドの「And you」と酷似 (netgeek, 10/10)
1億3000万円かけたオリンピック東京都ロゴ、全く同じものをニュージーランドの弁護士事務所が使っているのが見つかって終了 (netgeek, 10/12)。ソックリ。
SHA-1 に対する攻撃コストが、予想よりも早く低下しているそうで。
Continuing to Phase Out SHA-1 Certificates (Mozilla Security Blog, 2015.10.20)
We are re-evaluating when we should start rejecting all SHA-1 SSL certificates (regardless of when they were issued). As we said before, the current plan is to make this change on January 1, 2017. However, in light of recent attacks on SHA-1, we are also considering the feasibility of having a cut-off date as early as July 1, 2016.
》 注文確認や複合機からの通知を装ったメールでマクロ型ウイルス拡散、10月8日に1万3000通以上を観測 (Internet Watch, 10/9)、 「注文確認」、「複合機」2種の偽装メールを同時に確認、狙いはネットバンキング (トレンドマイクロ, 10/9)、 日本の企業を標的とするマルウェアスパム攻撃が活発に (シマンテック, 10/12)
》 「むかで競走」の骨折事故が多発 (NHK, 10/12)。「1年間で2205人がけが (中略) 482人が足や肩などを骨折する重傷」。マジか……。
ツタヤ連携「中止も」…小牧市長、初めて明言 (読売, 10/7)
ツタヤ図書館、なぜ「ノー」に? 愛知・小牧の住民投票 (朝日, 10/9)
わが街の図書館 地域の文化守りたい (中日社説, 10/10)
スタバより嬉しい!? 名古屋の図書館にはスガキヤが入っている (excite, 10/9)
》 5年間で4万人のエンジニアが必要--IT分野の新業界団体「日本IT団体連盟」発足 (ZDNet, 10/9)。 ボランティアという名のタダ働きですか。関連:
【ナイスジョーク】日本IT団体連盟「五輪のサイバー防衛のボランティアが出来るエンジニアを4万人育成する」 (togetter, 10/10)
本間 龍 ryu.homma (@desler) さんのツイート:
2020東京オリンピックを支えるのは、無償で働く数万人のボランティア。でもね、そのおかげで電通やオリンピックスポンサーの各社は丸儲けでウハウハ。そりゃあそうだ、みんながタダで働いてくれるのだから、儲かってしょうがない。だから少しでもおかしいと思ったら、ボランティアを拒否しよう!
— 本間 龍 ryu.homma (@desler) 2015, 10月 11》 2016年参院選・野党共闘の議席試算――選挙協力をしても議席減の可能性 (はるノート, 10/10)。現状のまま単に共闘しただけでは足りないと。
》 scryptがGPUに破られる時 (びりあるの研究ノート, 10/11)。高速計算しにくいはずの scrypt も今や……。
》 その女、島尻安伊子 (宮城県仙台市出身、参議院議員、沖縄・北方担当大臣/科学技術担当大臣)
島尻新沖縄担当相に佐藤優が「存在自体が日本の恥」「吐き気をもよおす」と激怒! その理由とは? (リテラ, 10/10)
分析メモ No.72 「島尻安伊子問題」 (佐藤優直伝「インテリジェンスの教室」, 2014.03.04)
菅長官「県民の多くは歓迎」 島尻氏の沖縄・北方相就任 (朝日 / Yahoo, 10/8)。ただしソースは菅義偉。
》 石田純一が安保法制反対で「圧力」を受けていた…テレビ番組、CMの出演キャンセル、厳重注意も (リテラ, 10/8)、石田純一に「圧力発言は狂言」のデマ攻撃! 実際はスポンサーだけでなく所属事務所も「政治発言するな」と圧力 (リテラ, 10/10)、 石田純一氏、安保法制反対でTV出演キャンセルされていた 高須クリニック院長がエール「頑張って」 (ハフィントンポスト, 10/8)
》 第3次安倍改造内閣 自民閣僚全員が「靖国」派 侵略美化・改憲を推進… (しんぶん赤旗, 10/12)
安倍晋三首相を含む20人の閣僚のうち、公明党の石井啓一国土交通相を除く全員が、「日本会議国会議員懇談会」「神道政治連盟国会議員懇談会」「みんなで靖国神社に参拝する国会議員の会」の三つの議員連盟のいずれかに所属
Nanking Massacre (Wikipedia)
安倍首相が否定したい南京大虐殺を日本テレビの番組が精緻な取材で「事実」と証明! ところが番組告知は… (リテラ, 10/8)。シリーズ戦後70年 南京事件 兵士たちの遺言 (NNN ドキュメント'15)。
世界記憶遺産:「南京大虐殺」登録 「慰安婦」は却下 (毎日, 10/10)。「中国が申請した旧日本軍による「南京大虐殺」に関する資料」を登録。
世界記憶遺産:中国、対日圧力強める 「南京大虐殺」登録 (毎日, 10/10)
中国の南京事件資料 (時事, 10/10)。「新華社電によると、南京事件の世界記憶遺産登録で中国が申請した資料は次の通り」。
恥ずかしすぎる! 安倍政権が世界遺産否定のために「南京大虐殺はなかった」のトンデモ言説を世界に発信 (リテラ, 10/11)
人数についてだが、やられた側の発表数字が誇大になりがちなのはふつうであろ。 アウシュヴィッツだって、ずいぶん長い間、誇大な数字だったわけで。 現在のアウシュビッツ=ビルケナウ博物館の資料では、儀牲者数はユダヤ人 100 万 + その他 10 万の計 110 万人になっている。400 万が 100 万になったから罪が減ったりはしないよね。
》 寄付7億円を目的外使用=赤字穴埋めに―秋田大 (時事 / Yahoo, 10/7)
平成27年上半期のインターネットバンキングに係る不正送金事犯の発生状況等について (警察庁, 9/3)。地銀の法人対策ができてきた一方で、信金・信組の法人が狙われる事例が大幅に増加している模様。
不正送金、信金で激増=ネット銀の被害拡大-「対策弱い機関へ移行」警察庁 (時事, 9/3)
ネットバンキング不正送金再び増加:サイバー脅威動向 (読売, 9/18)
群馬: ネット不正送金 急増20件 (読売, 10/7)。「1年間で10件約1651万円だった昨年の2倍以上」
アングル:遅れる金融機関のサイバー対策、金融庁は一斉調査に着手 (ロイター, 10/1)
》 APT集団「Naikon」 中国人民解放軍78020部隊の支援が明らかに (The Zero/One, 10/7)
シリア難民の少女の写真を加工したイラストに関する見解とお願い (セーブ・ザ・チルドレン, 10/8)
Facebookサイト「はすみとしこの世界」に、シリア難民の少女の写真が加工されたイラストが掲載されました。イラストの元となった写真は、セーブ・ザ・チルドレンの一員であるジョナサン・ハイアムズが撮影し、写真の著作権はジョナサン・ハイアムズとセーブ・ザ・チルドレンに帰属します。ジョナサン・ハイアムズの申し立てにより、当該イラストは10月7日に削除されました。当該イラストの転載・流用はお控えくださるようお願いいたします。
FB画像投稿「そうだ、難民しよう」 (togetter, 10/1)
‘Racist’ illustration of refugee girl sparks ire among Japan’s netizens (Japan Times, 10/2)
難民侮辱イラストに対し、元写真を撮影した写真家が「衝撃と深い悲しみ」「恥知らずな誤表現」と糾弾、幸福の科学との関連も (Buzzap!, 10/5)
難民中傷:日本人漫画家に批判集中 FBにイラスト投稿 (毎日, 10/7)
難民を中傷するイラスト「そうだ、難民やろうぜ」日本の漫画家、批判受け削除 (ハフィントンポスト, 10/8)
Is this manga cartoon of a six-year-old Syrian girl racist? (BBC, 10/8)
日本語版: シリア難民少女の写真を日本人が挑発的なイラストに……人種差別か (BBC, 10/8)
関連:
シリア難民受け入れ、ネットからできる支援先をまとめました。 (ハフィントンポスト, 10/7)
》 Gmailからdocomo携帯アドレスにメールが送れない件 (shinzlog - Clips, 10/8)。RFC 違反アドレス宛メールを送信すると配送拒否される件。
hoge..hage..@docomo.ne.jp を "hoge..hage.."@docomo.ne.jp
とすれば、原理的には準拠していることになる。これで試してみたら、うまく行きました(笑)。
》 南沙諸島の中国「領海」内、米国が艦船派遣へ=報道 (ロイター, 10/8)。「今後2週間以内に」。どんな艦だろう。LCS?
》 インドネシア虐殺事件 実態解明求める人々 (NHK, 10/1)、 インドネシア大虐殺はなぜ起こったのか (倉沢愛子 / SYNODOS, 9/8)
》 Status of dnsbl.burnt-tech.com: DEAD (dnsbl resources, 9/21)
Volkswagen に関する報道について (フォルクスワーゲングループジャパン, 10/1)。日本には、該当車種は正規輸入されていない。
マツダの排出ガス規制への適合対応について (マツダ, 9/29)
マツダは、法令遵守の精神に基づき、全てのガソリンおよびディーゼルエンジンを、各国の規制に厳格に適合させており、違法なソフトウェア、ディフィートデバイス(無効化機能)は一切使用しておりません。
<VW不正>4万円?低減装置ケチって世界的リコールの嵐 (毎日, 10/7)
世界一の自動車メーカーの不正はなぜ起きたのか? (NHK, 10/7)
フォルクスワーゲン リコールは来年1月から (NHK, 10/7)
フォルクスワーゲンがリコール計画提出、ドイツ当局数日かけて精査 (ロイター, 10/8)、 VW規制逃れ:リコール方針、報告書を独当局に提出 (毎日, 10/8)
VWとBMW、排ガス規制問題「不正」の境界線 「二兎を追う」は都合がよすぎた (東洋経済, 10/8)
独ボッシュのソフトに不正改変なし、VWが独断で書き換えか (ロイター, 10/8)
フォルクスワーゲン「排ガス不正問題」 背景にトヨタ「プリウス」に対する過剰なライバル意識 (現代ビジネス, 10/6)
フォルクスワーゲン不正事件で地に堕ちたドイツの自動車メーカーの信用 だが待て、ひょっとしてドイツ株は買いじゃないのか? (Market Hack, 10/6)
ここに注目! 「VW 不正の根本原因まだ見えず」 (NHK, 10/8)
10/8 (US 時間?) に米下院で公聴会あるそうで。
》 ITベンチャー社長の「レイプ事件」を被害女性が告発!〜六本木高級マンションで行われた「鬼畜の饗宴」 (現代ビジネス, 10/8)。ひどい。
》 クロスサイトリクエストフォージェリ(CSRF)とその対策 (JPCERT/CC, 10/6)
》 CG児童ポルノ裁判の傍聴に行ってきました (悪徳商法?マニアックス ココログ支店, 10/8)。「聖少女伝説」「聖少女伝説2」。 「なんとなく、児童ポルノかと思って買ったらロリBBAだったみたいな、検察の私怨が感じられる裁判のような気がしてきました」www
》 Windows 10 でサインアウト、再起動、シャットダウンをキャンセルしたときに発生する問題について (Ask CORE, 9/28)
[ユーザーのログオフ時に強制的にユーザー レジストリをアンロードしない] のグループ ポリシーを有効にすることで、問題を回避することができます。
》 石田純一が安保法制反対で「圧力」を受けていた…テレビ番組、CMの出演キャンセル、厳重注意も (リテラ, 10/8)
》 1万台ものルーターを勝手にハックしてセキュリティを高めたハッカーの正体と目的が判明 (gigazine, 10/8)
ISISがトヨタ車利用、米財務省が情報提供求める (CNN, 10/7)
米財務省:ISのトヨタ車使用、背景調査 (毎日, 10/7)
IS映像にトヨタ車 米財務省が調査 (NHK, 10/8)
難癖レベルであろ……。
》 2015年09月30日(水)「『軽減税率』は本当に低所得層の負担を軽減するのか(探究モード)」 (TBS ラジオ Session-22, 9/30)。軽減税率の駄目さを徹底解説。 オフィシャル podcast は消えてしまっているのがあれなのだが。
》 2015年10月05日(月)高野秀行・清水克行「ソマリランドと室町時代」Session袋とじ (TBS ラジオ Session-22, 10/5)。南部さん激賞。
》 2015年10月06日(火)坂口孝則「爆速配達からネットスーパーまで物流最前線」Session袋とじ (TBS ラジオ Session-22, 10/6)。利用者にやらせる、なんて話もあるのか。
関連: 「ヨドバシは単なる家電の店と思ってました...」 31歳主婦が見た、超速ネット通販の実力 (日経ビジネス, 10/5)、「ヨドバシファンの買い物頻度を上げる」 ヨドバシカメラ副社長の藤沢和則氏に聞く (日経ビジネス, 10/6)。
》 トヨタ最高益なのに 下請け7割が減収 (しんぶん赤旗, 2014.08.16)。帝国データバンク「トヨタ自動車グループの下請け企業実態調査」。リーマンショック前と比べて、という話。
特別企画 : トヨタ自動車グループの下請企業実態調査 (帝国データバンク, 2014.08.11)
今年もやっているのでどうなったんだろうと見てみたら、前年比しか載ってない。リーマンショック前の状態を回復できたのかどうかは、ここからはわからない。
第2回トヨタ自動車グループの下請企業実態調査 (帝国データバンク, 8/24)
》 太田国交相 堤防決壊その時 金集めパーティー (しんぶん赤旗, 10/7)。ひでえ。
》 Xenを使ったモジュールごとの仮想化が特徴の「Qubes OS」、バージョン3.0リリース (OSDN, 10/5)
》 パソコンを醸されないように! 大阪府警サイバー課が「もやしもん」石川雅之さんによる啓発ポスターを公開 (ねとらぼ, 10/7)
》 ベトナムで元外務省職員が中国女スパイに機密漏洩 禁錮6年の有罪判決 (産経, 9/30)、 元記者にスパイ罪で懲役6年=中国に情報提供-ベトナム (時事, 10/1)
市職員、データ200万件持ち出し…刑事告訴へ (読売, 10/3)、 本市職員による不正な行政情報の持ち出しに対するお詫びと報告について (神奈川県三浦市, 10/2)
全住民の基本台帳など大量コピー 熊本県西原村の幹部職 自宅パソコンに保存 [熊本県] (西日本新聞, 10/3)、 職員の行政情報の不適切な取扱い関する概要及び謝罪 (熊本県西原村, 10/5)。18 万件。
東京五輪公式エンブレム問題はやはり電通主導だった! 社員2名“更迭”だけで、電通の責任は追及されないのか? (リテラ, 10/3)
やっと更迭 選考の黒幕が語っていた佐野エンブレムへの執着 (日刊ゲンダイ, 10/4)
VMSA-2015-0007.1 - VMware vCenter and ESXi updates address critical security issues. (VMware, 2015.10.06 更新)。ESXi 5.x, vCenter 5.x / 6.0 に影響。patch あり。 ESXi 6.0 には影響はない。
JVN#49503705 - Windows 版 Python における任意のDLL読み込みに関する脆弱性 (JVN, 2015.10.01)。カレントディレクトリ上の readline.pyd を読み込むという仕様なのだそうで。
SYM15-010 - Security Advisories Relating to Symantec Products - Symantec NetBackup OpsCenter Server Reflected Cross-Site Scripting (Symantec, 2015.10.01)。Symantec NetBackup OpsCenter 7.7.1 で修正されている。CVE-2015-6549
Advisory (ICSA-15-274-01) Omron Multiple Product Vulnerabilities (ICS-CERT, 2015.10.01)
【お知らせ】弊社プログラマブルコントローラ CJシリーズの「UM読出プロテクト機能」に使用しているパスワード保護機能の強化について (OMRON, 2015.10.01)
JVNDB-2015-005092 - 複数の Omron 製品における重要な情報を取得される脆弱性 (JVN, 2015.10.07)
JVNDB-2015-005093 - Omron CX-One CX-Programmer における重要な情報を取得される脆弱性 (JVN, 2015.10.07)
JVNDB-2015-005094 - 複数の Omron 製品における重要な情報を取得される脆弱性 (JVN, 2015.10.07)
JVNDB-2015-000151 - サイボウズ ガルーンにおいて任意の PHP コードが実行される複数の脆弱性 (JVN, 2015.10.07)
JVNDB-2015-000152 - サイボウズ ガルーンにおける LDAP インジェクションの脆弱性 (JVN, 2015.10.07)
FreeBSD-SA-15:24.rpcbind - rpcbind(8) remote denial of service [REVISED] (FreeBSD, 2015.10.02 更新)
JVNDB-2015-005045 - rpcbind の rpcb_svc_com.c の xprt_set_caller におけるサービス運用妨害 (DoS) の脆弱性 (JVN, 2015.10.05)。Linux 方面も。
JVNDB-2015-005013 - 複数の OS およびアプリケーション上で稼働する NVIDIA ディスプレイドライバにおける任意のカーネルメモリ領域に書き込まれる脆弱性 (JVN, 2015.10.01)
CVE-2015-5950 Memory corruption due to an unsanitized pointer in the NVIDIA display driver (NVIDIA, 2015.09.24)。Windows 版 353.82 / 341.81、 Linux 版 304.128 / 340.93 / 352.41、GRID vGPU and vSGA 版 352.46 で修正されている。
JVNDB-2015-004881 - McAfee SIEM 製品の複数のコンポーネントにおける任意の OS コマンドを実行される脆弱性 (JVN, 2015.09.28)
Intel Security - Security Bulletin: SIEM update fixes OS Command Injection vulnerability (McAfee SB10133, 2015.09.10)。SIEM 9.3.2MR18, 9.4.2_MR8, 9.5.0MR7, 9.5.1 で修正されている。
JVNDB-2015-005049 - McAfee Vulnerability Manager の Enterprise Manager の Organizations ページにおけるクロスサイトリクエストフォージェリの脆弱性 (JVN, 2015.10.05)
Intel Security - Security Bulletin: Vulnerability Manager 7.5.9 hotfix remediates CSRF vulnerabilities in the MVM Enterprise Manager (McAfee SB10135, 2015.10.02)。MVM 7.5.9 + hotfix でのみ対応。
JVNDB-2015-004931 - McAfee Agent のリモートログ参照機能におけるディレクトリトラバーサルの脆弱性 (JVN, 2015.09.29)
Intel Security - Security Bulletin: McAfee Agent patch fixes a vulnerability in its remote log viewing functionality (McAfee SB10130)。McAfee Agent 5.x にディレクトリトラバーサルな欠陥、5.0.2 で修正。
JVNDB-2015-004997 - Squid における制限を回避される脆弱性 (JVN, 2015.10.01)
SQUID-2015:2 - Improper Protection of Alternate Path (Squid, 2015.07.06)。Squid 3.5.6 で修正されている。また Squid 3.1, 3.4, 3.5 用の patch が用意されている。
》 アフガニスタン・クンドゥーズ州「国境なき医師団」外傷センター誤爆事件
アフガニスタン:MSF外傷センターに爆撃、スタッフ3名が犠牲に (国境なき医師団, 10/3)。この時点では「少なくともMSFのスタッフ3名が亡くなった。また、30名以上の安否が不明」。その後、死者は 23 人 (スタッフ 13 人、患者 10 人) に。
アフガニスタン:クンドゥーズからの証言「言葉では言い表せません。言葉になりません」 (国境なき医師団, 10/5)
アフガニスタン:MSF病院の爆撃を正当化する声明に嫌悪感 (国境なき医師団, 10/5)
アフガニスタン:MSF外傷センター爆撃、国際的な第三者機関による完全で透明な調査を (国境なき医師団, 10/6)
報道:
アメリカ空軍のAC-130ガンシップが病院を誤攻撃 アフガニスタン (FlyTeam, 10/5)
「国境なき医師団」アメリカ軍が誤爆か 死者は19人に(UPDATE) (ハフィントンポスト, 10/3)
アフガニスタン:病院爆撃「1時間続く」…国境なき医師団 (毎日, 10/4)
アフガニスタンの病院空爆、国境なき医師団の看護師が恐怖の瞬間を語る「ベッドごと患者が焼かれ...」 (ハフィントンポスト, 10/5)
病院空爆「人道法の重大な違反」 国境なき医師団が声明 (朝日, 10/5)
アフガニスタン:「国境なき医師団」病院閉鎖し撤退 (毎日, 10/5)
アフガン空爆:「軍の要請」誤爆の米軍、説明転々 (毎日, 10/6)
米軍に「国境なき医師団」病院が狙い撃ち誤爆されたワケ? (木村正人 / Yahoo, 10/4)
「国境なき医師団」空爆は氷山の一角 厳格な交戦規定に現場から反発も (木村正人 / Yahoo, 10/5)
》 「南京・慰安婦の存在、我が国は否定」 自民・原田氏 (朝日, 10/2)。結局ホンネはそれか。恥を知れ。
》 安倍政権と一体の極右団体・日本会議が安保法制を推進した目的とは? 自衛隊員の靖国合祀で“戦前・戦中体制”に… (リテラ, 10/6)。「戦前回帰 「大日本病」の再発」
》 アリさんマークの引越社・「ブラック企業」とのイメージ悪化の教訓は? (嶋崎量 / Yahoo, 10/6)
》 これ、マジか? 巨人の賭博問題、調査委員会のトップに陸山会事件でへた打ちの大鶴弁護士のでたらめ (いまにしのりゆき 商売繁盛でささもって来い!, 10/6)。大鶴基成弁護士。
》 海の向こうの“セキュリティ” 英国の諜報機関がパスワードのガイドライン/最も怪しいトップレベルドメイン ほか (Internet Watch, 10/6)。 Password guidance: simplifying your approach (GCHQ, 9/8) の紹介など。
各Tipの詳細については原典を参照していただくとして、この中で目を引くのは、「Tip 2」の解説中で赤い文字を使って強調されている以下の文言です。
Regular password changing harms rather than improves security, so avoid placing this burden on users. However, users must change their passwords on indication or suspicion of compromise.
パスワードの定期的な変更は、セキュリティを改善するどころか、むしろ悪くします。ユーザーにそのような負担を課すのはやめましょう。ただしユーザーは、指示された場合、あるいは侵入された恐れがある場合には、必ずパスワードを変更しなければなりません。
》 中国、スパイ容疑で邦人 2 名を 5 月に逮捕。 3 名との話も。5 月の話なのに、今になって出てきた。
中国 日本人2人の拘束認める “スパイ活動に関与” (NHK, 9/30)。「菅官房長官「適切に対応している」」。菅用語「適切」って、放置という意味だよね?
愛知の男性ら中国が拘束 スパイ容疑か、邦人2人 (中日, 9/30)
中国:スパイ容疑 男性拘束場所は軍事施設の周辺 (毎日, 10/3)
愛知県の男性、浙江省沖で拘束 急速に軍事拠点化の島 (朝日, 10/3)
スパイ容疑拘束の日本人、公安調査庁が調査依頼か (日刊スポーツ, 10/3)
中国人弁護士が接見 公安庁「スパイ活動を行わせるようなことはしていない」 (産経, 10/3)
中朝国境地帯で拘束 脱北者男性の“スパイ”らしからぬ私生活 (日刊ゲンダイ, 10/4)
中国に「日本国民を返せ」と言えない安倍首相 (高英起 / BLOGOS, 10/4)
中国で拘束の日本人スパイは公安調査庁の元職員だった!? 素人同然の身内に巨額報酬払う公安は税金泥棒だ (リテラ, 10/5)。「ようは、公安調査庁が素人に近い情報屋を使った結果、ヘマをやらかしてしまったということらしい」
日本人男性、撃たれ死亡 バングラデシュで移動中 (朝日, 10/3)。「警察当局や現地の報道では、男性は自転車タクシーで移動中、バイクに乗った複数の男たちに撃たれたという」
IS名乗る声明、現地邦人ら動揺 バングラデシュ殺害 (朝日, 10/4)
日本貿易振興機構(JETRO)ダッカ事務所の河野敬所長は「対日感情が良好で、これまで日本人を狙った犯罪はほとんどなかった。ショックだ」と語る。
バングラデシュについての海外安全情報(危険情報)の発出 (外務省, 10/4)
バングラデシュ射殺 ついに現実となった「日本人標的」の衝撃 (日刊ゲンダイ, 10/5)
「イスラム国」、なぜバングラデシュで邦人殺害? 軍事アナリストの推測は (東スポWeb / livedoor, 10/6)。黒井文太郎氏。
バングラデシュ日本人殺害 知人ら「残念」 (NHK, 10/5)。「地元の警察は、日本人男性を銃撃したのは3人組の男だとして行方を追う」
バングラデシュ 邦人殺害 ISラジオが声明伝える (NHK, 10/5)
バングラデシュ日本人殺害 計画的犯行か (NHK, 10/5)
海老名市立図書館
TSUTAYA管理の海老名市立中央図書館を観察してきた (松浦晋也のL/D, 10/3)。「そこにあるのは図書館ではない“図書館モドキ”」「コーヒーショップとしての図書館モドキ」
教育長が見直した選書に愕然 ! これが市立図書館に? (海老名市議会議員 山口良樹 公式サイト, 10/3)。 見直した結果、 「タイバンコク夜遊び地図 初心者でも安心 ! 男の海外旅行ガイド」 「大人のバンコク極楽ガイド」 を購入。
分類大喜利 孫子: ビジネス/自己啓発/自己啓発/歴史・古典に学ぶ/孫子兵法 (海老名市立図書館)
分類大喜利 図説食人全書: 料理/教養/読み物/食文化/食文化 (海老名市立図書館)
分類大喜利 旧約聖書出エジプト記: 旅行/海外旅行/アフリカ/エジプト (海老名市立図書館)
旧約聖書「出エジプト記」が旅行ガイド? 海老名市立図書館の配架がちぐはぐすぎて不安視する声 (ねとらぼ, 10/4)
#海老名市図書館風に分類してみる (twitter)
小牧市立図書館 (計画段階)
「ツタヤ図書館」反対多数=愛知・小牧で住民投票 (時事 / Yahoo, 10/5)。おめでとうございます。
ツタヤ図書館計画、反対多数 愛知・小牧市住民投票 (朝日, 10/5)
TSUTAYA図書館に「NO!」 愛知県小牧市の住民投票で反対多数 (ハフィントンポスト, 10/5)
》 橋下氏の「おおさか維新の会」の趣旨説明を信じるのはバカです。その理由を説明します。 (藤井 聡, 10/2)。 関連:
毎月300万円の大豪遊…分裂「維新」大阪組の異常なカネ遣い (日刊ゲンダイ, 10/3)
》 組み体操6人重軽傷の大阪・八尾市の中学校で2014年も4人が骨折 (FNN / Yahoo, 10/5)。うわ……。再発防止できてない。
》 ネット広告でウイルス感染、国内3千サイトに表示 (読売, 10/2)。
》 鬼怒川堤防、パイピング破壊原因 国交省関東地方整備局の調査委 (共同 / BLOGOS, 10/5)、第2回 鬼怒川堤防調査委委員会(平成27年10月5日) (国土交通省 関東地方整備局, 10/5)
関連:
鬼怒川決壊 中小企業、東側は「壊滅」 (茨城新聞, 10/5)
》 電子書籍のスキャンダル--経産省「緊デジゲート」がはじけたようです (CNET, 10/5)。ひでえ。
》 防衛装備庁技術シンポジウム2015。 2015.11.10・11、東京都新宿区、無料。
本年度は「先端技術ブース」として、デュアルユース性の高い、優れた先端技術の情報収集のため当該技術を有していると思われる大学・研究機関・企業等からの出展を募集します。詳細はこちらをご覧ください。
こんな文言が記載される時代になったんですねえ……。
》 JPRSが「学生向けJPドメイン名活用支援プログラム」を指定事業者向けに提供開始 (JPRS, 10/5)。 「JPドメイン名の新規登録料を無料」。維持費は必要な模様。
維持しない場合の未来: 中高生が取得したドメイン名がアダルトなサイトになる日 (家庭内インフラ管理者の独り言(はなずきんの日記っぽいの), 2/4)
》 米記者から「出来レース」批判された安倍首相国連会見 質問を事前設定か (アジアプレス, 10/6)。 日本政府と日本マスゴミ、癒着の実例。 ゴミはゴミ箱へ。
遂に、通常の (脱獄していない) iOS デバイスにも感染するマルウェアの拡散を確認。 遅くとも 2014 年 11 月には登場しており、主に中国や台湾で流行している模様。
詳細: YiSpecter: First iOS Malware That Attacks Non-jailbroken Apple iOS Devices by Abusing Private APIs (Palo Alto Networks, 2015.10.04)
Palo Alto Networks has released IPS and DNS signatures to block YiSpecter’s malicious traffic. This blog also contains suggestions for how other users can manually remove YiSpecter and avoid potential similar attacks in the future. Apple has also been notified.
YiSpecter uses “bb800.com” as its C2 server’s domain name. In VirusTotal, there are 38 records of subdomains under this domain name. Sixteen of them have been used by Android Adware for years, e.g., ad.bb800[.]com and down.bb800[.]com. Another subdomain, ty1.bb800[.]com, was used by a Windows virus Almanahe.B.
関連: 新たなiOSマルウエア「YiSpecter」、非脱獄デバイスも攻撃 (日経 IT Pro, 2015.10.06)
関連: iOS が確実に攻撃者の標的になっていることを明らかにした YiSpecter マルウェア (シマンテック, 2015.10.06)
Firefox 41.0 / ESR 38.3.0 公開 (2015.09.24)
Firefox 41.0.1 が公開されています: リリースノート。セキュリティ修正は無いようです。
また、Thunderbird 38.3.0 が公開されています。
リリースノート: 38.3.0。
セキュリティアドバイザリ: Thunderbird。 Thunderbird 38.3 の記載がありませんが、Thunderbird 38.2.0 の時は、後になって追記されました。
ダウンロード: Thunderbird
ところで、Norton ツールバーは Firefox 41 に未対応なのだそうで。対応予定は 10 月末なのだそうです。
Firefox 41 とノートン ツールバーとの互換性 (Norton コミュニティ, 2015.09.21)
それはいいのですが、回避方法の 1 つとして挙げられているのが
Firefox 41 の使用を見送ることを検討する。 Firefox 41 にすでに更新した場合は、Firefox 40 にダウングレードすることを検討してください。 Firefox 40 以前のバージョンを使用している場合は、バージョン 41 に Firefox を更新することを見送ってください。 これについての詳しい情報は今後記載します。
うわー……。それ、セキュリティ屋が言っちゃ駄目な奴じゃん。どうして「一時的に Firefox ESR に移行する事を検討する」にならないんだろう。Firefox ESR 38 なら現状の Norton ツールバーが使えると思うのだが。よくわからないなあ。
》 本人へ交付する源泉徴収票や支払通知書等への個人番号の記載は必要ありません (国税庁, 10/2)。マイナンバーの件。本人へ交付する源泉徴収票などには記載不要、税務署に提出する源泉徴収票などには記載が必要。
》 優先席付近の携帯マナー「混雑時には電源オフ」、10月1日から 東日本の鉄道 (ITmedia, 10/1)
関西圏では昨年7月に変更。東日本の鉄道事業者37社・局も改めることになった。
どうして関東ではこんなに遅れたんだろう。
関連:
優先座席付近での携帯電話使用マナーを「混雑時には電源をお切りください」に変更します (JR 西日本, 2014.06.25)
優先席付近における携帯電話使用マナーを「混雑時には電源をお切りください」に変更します (JR 東日本, 9/17)
車内での携帯電話の利用マナーに関する呼びかけについて。 (JR 東日本 / okwave)。直ってない。
》 デジタル証拠の法律実務Q&A (日本加除出版)。発注した。
》 「ヤフージャパン一人勝ち」と「報道記事の買い叩き」がステマ横行の原因 (山本一郎 / Yahoo, 10/1)
いろんな業界団体や報道機関に携わっておられる皆さまのお話を総合すると、ここまでステマが流行する結論はひとつで、業界最大の配信数を持つヤフーに配信する記事の値段では食べられないからであります。 (中略) いま、ヤフーやネット事業者がステマ撲滅のために立ち上がって、苦労して情報収集をしている実態というのは、過去に自らが成長した理由が暴走した結果、自社の高いPVを質の低いメディアにある意味で乗っ取られて自らの影と殴り合っているようにも見えます。
》 OS X compatibility with Endpoint Protection for Mac (Symantec, 10/2 更新)、 Symantec Endpoint Protection 12.1.6 MP2 Release Notes (Symantec, 10/1)。SEP 12.1.6 MP2 登場。OS X El Capitan v10.11 に対応。
SEP 12.1.6 MP2、Windows・Mac は 12.1.6465.6200。 Linux 版は 12.1.6168.6000 (12.1.6) のまま。
》 T-Mobile US、1500万人分の顧客情報が流出--Experianへのハッカー攻撃で (CNET, 10/2)
》 新日鐵住金に韓国ポスコが和解金300億円支払い--営業秘密の不正取得訴訟で (マイナビニュース, 10/1)、 株式會社ポスコ等との訴訟における和解について (新日鐵住金, 9/30)
》 グーグルとマイクロソフト、特許紛争収束へ--約20件の訴訟で和解に合意 (CNET, 10/1)
》 誰でも無料で使える画像の意匠登録検索支援ツールを公開- 経産省 (マイナビニュース, 10/1)、 画像意匠公報検索支援ツール
Android に 2 件の欠陥。
libutils の欠陥。Android 1.0 以降に存在。
libstagefright の欠陥 CVE-2015-6602。Android 5.0 以降に存在。 この欠陥を使うと、上記の libutils の欠陥を突くことができる。
両者を組みあわせると、攻略 MP3 オーディオ / MP4 ビデオを使って任意のコードを実行できる。Zimperium はこれを Stagefright 2.0 と呼んでいる。
libutils の欠陥を突く方法は、他にも、3rd パーティーアプリや、ベンダー固有のアプリなどの欠陥に存在するかもしれないが、Zimperium は確認していない模様。
関連:
新たな「Stagefright」脆弱性--1件は「Android」端末ほぼすべてに影響 (CNET, 2015.10.02)
GoogleはMotherboardに対し、米国時間10月5日に「Nexus」ユーザーを対象にパッチを発行する予定だと述べた。
OS X Mavericks v10.9.5, OS X Yosemite v10.10.5, OS X El Capitan v10.11 用 Safari 9 登場 (El Capitan には同梱)。 45 件のセキュリティ欠陥を修正。 OS X v10.8.5 はサポート対象外となったか。
》 “フクイチ”で新たな恐怖! 海外の研究者や政府関係者が不安視、苛立つ最悪の「地底臨界」危機進行中? (週プレ NEWS, 4/18)。溶融物がどこにあるのか、いまだにわかってないんだよなあ。
実は先日、調査途中で止まったロボット装置について記者会見に臨んだ東電の広報担当者は、意味深長な感想を述べた。
格納容器内では10Sv(1000万μSv)のすさまじい高線量が計測されたが、それでも予想していた10分の1ほどだったと言ったのだ。その意味するところは、デブリが金属格子の作業用足場から見えるような位置ではなく、ずっと深くまで沈んでいるということではないのか。
海老名市立図書館、選書やり直しへ 武雄市図書館問題が「飛び火」 (ハフィントンポスト, 9/18)
海老名市立TSUTAYA図書館問題 (togetter, 9/18)
不適切図書混入の疑い 海老名市立中央図書館 指定管理目前 選書でつまずき 市教委 確認に追われ (カナロコ, 9/25)
伊藤文康教育長は「不適正と思われる図書はざっと見て100冊以上はあった」と話している。
武雄市だけじゃない!「リアル図書館戦争」が拡大中 (週刊朝日, 9/30)
海老名市立図書館がオープン 画像120枚で館内を速報 (ハフィントンポスト, 9/30)
「武雄市図書館の時はド素人でした」 海老名市でオープンした2館目のTSUTAYA図書館は何が違う? (ハフィントンポスト, 9/30)
今回、議会で問題視された海老名市立中央図書館の購入予定リスト8300冊だが、CCCが基礎的なデータを作成。共同事業体で、図書館の指定管理者最大手の図書館流通センター(TRC)のチェックを経て、海老名市が確認するという見直しが行われた。高橋館長によると、「注文ステージで7161冊、9月30日現在はその中から、図書館に入荷できる状態が6997冊です。9月25日から入荷してきて、一冊、一冊、教育長に見ていただいて、確認の作業をしてきた」という。
【sorry-city-library】昨夜公開された海老名市立図書館のサイトがXSS等の不備により大喜利会場と化す。現在はSORRY中 (togetter, 10/1)
海老名市に全国2例目、“ツタヤ図書館”きょう改装オープン 選書で混乱も 神奈川 (産経, 10/1)
》 テロ対策特殊装備展 (SEECAT)。2015.10.14〜16、東京ビッグサイト、「来場希望者本人による来場目的および日常業務に関する申請が必須」「入場時に顔写真付公的身分証の提示が必要」。
》 アリさんマークの引越社を社員が損害賠償求め提訴 (日刊スポーツ / Yahoo, 10/1)
月393時間だったこともある長時間労働や、男性ら従業員が「あり地獄」と呼ぶ、仕事中の荷物破損や車両事故の弁償を従業員の給与から天引きするシステム
うわ……。
OS X El Capitan v10.11 公開。101 件のセキュリティ欠陥を修正。
関連:
Adobe
After Effects ready for Mac OS X v10.11 (El Capitan) (Adobe, 2015.09.30)
PIXELA
Mac用OS OS X El Capitan(v10.11)対応についてのお知らせ (PIXELA, 2015.09.28)
エプソン
エプソン周辺機器製品のOS X El Capitanへの対応について (エプソン, 2015.10.01)
キヤノン
OS X v10.11(El Capitan)対応状況(インクジェットプリンター) (キヤノン, 2015.09.30)
OS X v10.11(El Capitan)対応状況(ビジネスインクジェットプリンター) (キヤノン, 2015.09.30)
OS X v10.11(El Capitan)対応ドライバー/アプリケーションの制限事項(インクジェット複合機) (キヤノン, 2015.09.30)
OS X v10.11(El Capitan)対応状況(レーザビームプリンタ) (キヤノン, 2015.09.25)
OS X v10.11(El Capitan)対応状況(パーソナル向けスキャナー) (キヤノン, 2015.09.30)
キヤノン IT ソリューションズ (ESET 製品)
OS X v10.11 El Capitan への対応について (キヤノン IT ソリューションズ, 2015.10.01)
ジャストシステム
ブラザー
About the security content of iOS 9 (2015.09.17)
iOS 9.0.2 が公開されました。ロック解除せずに写真や連絡先を開ける欠陥が修正されています。
About the security content of iOS 9.0.2 (Apple, 2015.09.30)。CVE-2015-5923 を修正。
![[セキュリティホール memo]](/~kjm/security/memo/memologo-s.png)