セキュリティホール memo - 2018.07

Last modified: Mon Mar 30 12:18:31 2018 +0900 (JST)

　このページの情報を利用される前に、注意書きをお読みください。

■ 2018.07.31

》日本大学アメリカンフットボール部における反則行為に係る第三者委員会（略称日大アメフト部第三者委員会）の最終報告書について (日本大学, 7/30)。関連:
- 「日大理事長の事後対応は不適切」　第三者委の最終報告 (朝日, 7/30)
- 「内田氏の弁護費用、大学で」　第三者委、上申書を発見 (朝日, 7/30)。記者会見での質疑応答の模様。
- 問われる日大理事長の説明責任　権限集中の背景に全共闘 (朝日, 7/31)
- 「日大が総力を挙げて潰す」職員が口封じ　悪質タックル (朝日, 7/31)。日本大学は「あなたとともに100万人の仲間とともに」ですから。
- 問われる日大理事長の説明責任　権限集中の背景に全共闘 (榊原一生 / 朝日, 7/31)
- 日大アメフト選手が評価した内田前監督と影の実力者の恐怖支配を暴いた第三者委「田中理事長セーフはダメ」 (今西憲之 / AERA dot., 7/31)
- アメフット日大理事長「会見しない」　説明責任問われ (毎日, 7/31)
》村上春樹氏　寄稿　胸の中の鈍いおもり　事件終わっていない　オウム１３人死刑執行 (毎日, 7/29)
》現代の神道の二礼二拍手一礼の起源 (togetter, 1/22)。明治どころか、昭和どころか、戦後からですか。なんとまあ。
》稲田朋美・自民党衆院議員「憲法教という新興宗教に毒されず安倍総理を応援に感謝！」にツッコミ殺到→削除 (NAVER まとめ, 7/30)
》杉田水脈発言方面。前ねた。
- 「ＬＧＢＴ生産性がない」に苦言呈する公明山口代表 (NHK, 7/26)
- #0727杉田水脈の議員辞職を求める自民党本部前抗議 (7/27)
  - 0727 THIS IS PRIDE!! ～林夏生さん（LGBT法連合会共同代表）のスピーチ全文掲載 (レインボーフラッグは誰のもの, 7/28)
  - 「#0727杉田水脈の議員辞職を求める自民党本部前抗議」でのスピーチの全文を掲載します (東京レインボープライド)
  - 抗議　杉田議員辞職を　自民党前、ＬＧＢＴなど５０００人 (毎日, 7/27)。動画あり。
  - 杉田水脈議員の「差別発言」に抗議するデモに、なぜ5000人も集まったのか (宇田川しい / ハフポスト, 7/29)。丁寧な解説。
  - いま、杉田水脈議員に伝えたいことは？自民党本部前で聞いた (播磨谷拓巳 / BuzzFeed, 7/27)
  - 自民杉田議員の「ＬＧＢＴは生産性ない」に抗議集会 (NHK, 7/27)
  - 杉田議員の辞職求め自民党本部前で4000人が抗議デモ「LGBTを差別するな」「議員になるべきではなかった」 (キャリコネニュース, 7/27)
  - 【やまゆり園事件２年】差別断じる規範今こそ　ヘイトスピーチと闘うわけ (カナロコ, 7/30)
  - #0727杉田水脈の議員辞職を求める自民党本部前抗議など杉田氏「生産性がないLGBT」問題その後 (NAVER まとめ)
- 「LGBTは生産性がない」杉田水脈氏大炎上「ザワザワ感」の正体 (井戸まさえ / 現代ビジネス, 7/29)
- 松尾貴史のちょっと違和感　人の尊厳認めぬ暴言　生産性、この短絡で低劣な基準 (松尾貴史 / 毎日, 7/29)
- 杉田氏寄稿、野党「撤回させぬなら自民も同罪」 (読売, 7/31)
- 自民党議員の自爆擁護が続く
  - 「義務を果たしていれば権利を主張して良い」自民・小野田議員の自然権否定という闇 (Buzzap!, 7/26)。困ったことにこれ、自民党議員の典型なのよね。
  - 小林ゆみ・杉並区議の杉田氏擁護が炎上「『生産性』は『子供を産めるかどうか』。文脈切り取って感情的になってはいけない」と主張 (キャリコネニュース / BLOGOS, 7/30)。擁護になっていないんだよなあ。
- そんな中、沈黙を守るメディアがあるようで:
  - 『報道ステーション』から安倍政権批判が消えた理由！杉田水脈問題も赤坂自民亭もスルーする異常事態 (リテラ, 7/29)
》東京インパール 2020 方面
- 東京五輪・パラ　「授業避けて」国通知、ボランティア促す (毎日, 7/27)。なんじゃそりゃ。
  
  首都大学東京は昨夏、期末試験を大会前に終了させるなどして大会期間中に原則、授業や試験を行わないことを決めている。国士舘大も２６日、同様の方針を発表した。
- 東京オリンピック・パラリンピック開催に伴う 2020年度学年暦【春学期】の変更について（お知らせ） (明治大学, 7/26)。明治大学、東京インパール 2020 学徒出陣に対応。
- 「暑さはチャンス」なぜ東京オリンピックは「太平洋戦争化」してしまうのか？森喜朗、小池百合子、東条英機……今も昔も「竹槍精神」 (辻田真佐憲 / 現代ビジネス, 7/31)
- 「正気の沙汰ではない」気象予報士と医師が指摘する"灼熱"東京オリンピックの危険性 (週プレ news, 7/30)
　関連:
- 東本願寺、猛暑対策で「打ち水」　放水設備活用、約２度下がる (京都新聞, 7/27)。「打ち水」と言っても消防放水レベルですので、念の為。
》日立英原発、即時中止なら損失は最大約２７００億円に (朝日, 7/30)。即時中止なら 2,700 億円で済む、という話。これだけでもひどい話ですが、即時でなければ、もっと広がります。 Inspire the Next.
》『ガーディアンズ・オブ・ギャラクシー』出演者9名、ジェームズ・ガン監督への支持を表明する公開状を発表【全文和訳あり】 (稲垣貴俊 / THE RIVER, 7/31)。ディズニーの懐の狭さ、頭の固さをまざまざと見せつけた事件だよなあ。ほんと駄目。
》「ヘイトスピーチ禁止」明示のYouTubeで差別動画削除が急加速、たった2週間で1000チャンネル・50万本以上に (Buzzap!, 7/31)。有志のみなさんありがとう。
》名古屋高裁が下した「原発裁判史上、最悪の判決」とは (金曜日 / Yahoo, 7/27)。その男、内藤正之 (名古屋高裁金沢支部長)。
》東電　廃炉資料館　福島・富岡町に今秋開館 (毎日, 7/27)。なんじゃこりゃ。早くも綺麗事にしたいのか。
》 Cobalt Strike Beaconを検知するVolatility Plugin(2018-07-31) (JPCERT/CC, 7/31)
》ランサムウエアの脅威動向および被害実態調査報告書 (JPCERT/CC, 7/30)
》「佐川急便の偽サイト」に学ぶAndroidの防御法　見直す設定はたった1つ (宮田健 / ITmedia, 7/31)。「提供元不明のアプリのインストールを許可する」が OFF になっていることを確認。

　関連: NHKの「偽・佐川」警告記事に批判集まる。iPhoneが攻撃アプリに感染すると誤解を生む内容 (篠原修司 / Yahoo, 7/28)
》産総研、人工知能処理向け専用スパコン「ABCI」を公開～水冷・空冷ハイブリッドで高性能省電力を両立、国内最高性能を達成 (PC Watch, 7/31)

■ 2018.07.30

》新MacBook Pro、ロジックボードが故障するとSSDのデータを救出できない可能性 (スラド, 7/27)。バックアップはこまめに。

■ 2018.07.27

》 AppBank、GACKTコインとも呼ばれる仮想通貨「SPINDLE」の取り扱いを一時停止 (仮想通貨 Watch, 7/26)。関連:
- 野田聖子と『GACKTコイン』をめぐる圧力騒動の全舞台裏 (現代ビジネス, 7/26)
- 金融庁圧力疑惑　野田総務相が明かしていた「GACKTの依頼」 (週刊文春 2018年8月2日号, 7/25)
- 仮想通貨醜聞でＧＡＣＫＴと野田聖子議員揃ってアウト！！ (東スポ, 7/27)
》学徒出陣 2020
- 東京五輪・パラ「授業避けて」国通知、ボランティア促す (毎日, 7/27)
- 「五輪ボランティア徴用のために授業や試験をずらせ」スポーツ庁と文部科学省が全国の大学・高専に要求 (Buzzap!, 7/27)
　ただでさえ授業時間確保がたいへんなのに、シャレにならん。関連:
- 建築エコノミスト森山さんのツイート:
  
  しかも、この２０万円は地方からの交通費と宿泊費と大会期間中の食費で消えるわけだから、経済循環的にもオリンピックに貢献しているといえる。残りの3800億円を、海外口座に移して金融商品に変えたりするような奴らに渡しても、しょせん金融市場で溶かしちゃうだけで実態経済に反映しないぞ。 https://t.co/avelSEf19y
  — 建築エコノミスト森山 (@mori_arch_econo) 2018年7月27日
  
  資金はあるのだから、 50 万円/人くらいバーンと出せばいいだけなんだよな。

■ 追記

Bluetooth SIG Security Update (2018.07.25): 　macOS については、 Apple 方面 (iOS, tvOS, watchOS, macOS, Safari, iCloud for Windows, iTunes for Windows 更新) (2018.07.09) の About the security content of macOS High Sierra 10.13.6, Security Update 2018-004 Sierra, Security Update 2018-004 El Capitan (Apple, 2018.07.09) で修正されている。CVE-2018-5383

■ 2018.07.26

》大韓航空 777-300 (HL7534) 離陸滑走中エンジン出火事故 (2016.05.27)。離陸決定速度 V1 まで残り約 10 ノットって、何秒くらいの余裕?
- 株式会社大韓航空所属　ボーイング式777-300型機の航空事故［離陸滑走時のエンジン火災］（東京国際空港滑走路34R上、平成28年5月27日発生） (運輸安全委員会, 7/26)。たいへん興味深い。
  - 非常脱出チェックリストを実施しようと思ったらマニュアルがない?!
  - 右側から緊急脱出しろと言われたのに左側を開けちゃった?!
  - エンジンを切る前に非常脱出スライドを出しちゃったので上手く膨らまない?!
- 大韓機事故、乗客の違反行為多発　機体近くで写真撮影も (朝日, 7/26)。開けなくてもよかった L1 スライド、折れ曲がった R5 スライドが見える。
- 一昨年の大韓航空機出火、エンジン部品の製造ミスが影響 (朝日, 7/26)。折れ曲がった R5 スライド。もちろん、脱出には使われなかった。
- 世界に赤っ恥…大韓航空パイロット労組、羽田事故は「天が下す最後の警告」！？まるで他人事 (産経, 2016.06.14)。機体右側から見た写真。 R3 スライドは、他と比べて幅が狭いことがわかる。
　参考: Tokyo Takeoff | B777 CockpitView 4K (High Pressure Aviation Films / YouTube, 5/26)。事故機と同じく、羽田 34R からの 777-300 離陸映像。 "80 knots" から "V1" までは 19 秒ほど。そろそろ、音声だけじゃなくて、こういう映像を black box に保存するようにはならないのかしらん。

　事故時の状況 (事故調査報告書 p.60 より):
》自民・船田氏が明かす　「党の改憲議論は安倍総理の考えを実現することに集中」 (田中龍作ジャーナル, 7/25)
》欧州議会がプライバシーシールド停止を決議、GDPR対策に暗雲 (日経 xTECH, 7/26)
》アマゾンで偽レビューが量産されている。過去には大規模な訴訟も (BuzzFeed, 7/26)。「アマゾンジャパンではこうした偽レビューの対策が追いつていないのが現状」。本当にねえ。
》人類史上最大の核兵器を世界で最も深い海底で爆発させたら何が起こるのか？ (gigazine, 7/24)。マリアナ海溝水深 10,900m vs ツァーリ・ボンバ 99 メガトン。深海探査船は、こういう水圧に耐えているのですね。

■ 2018.07.25

》わずか4分でノートPCへ物理的にアクセスしてハッキングするムービーをセキュリティ会社が公開 (gigazine, 7/24)。意外と簡単! 物理ハッキング。

Eclypsiumのエンジニアリング担当ヴァイス・プレジデントのジョン・ルーケード氏は「物理的なハッキングは防御するのが難しく、ほとんどの人が防御するために何の対策も施していません。しかし、物理的なハッキングは多くの人が考えるよりも時間と労力がかからないものです」とコメントしています。
》 1億人以上のアクティブユーザーを抱えるP2Pファイル共有のBitTorrentが仮想通貨の「TRON」に買収される、世界最大の分散型エコシステムが誕生 (gigazine, 7/25)
》「ポルノ閲覧の姿をさらす」とユーザー脅迫、パスワード記載で信ぴょう性を高める (ITmedia, 7/17)
- Sextortion Scam Uses Recipient’s Hacked Passwords (Krebs on Security, 7/12)
- Sextortion scam knows your password, but don’t fall for it (Sophos, 7/13)
- セクストーション詐欺メール – デイリーセキュリティバイト (Watchguard, 7/20)
》「不正従業員調査」ネットエージェントが開始　情報持ち出しや職務怠慢……Webやメール履歴など調査 (ITmedia, 7/25)
》拾った「香水の瓶」はノビチョクだった　英の神経剤事件 (朝日, 7/25)

　ローリーさんは意識不明になる６月３０日の数日前、セロハンでラッピングされた箱を拾った。中には「香水の瓶」が入っていた。エイムズベリーの自宅に持ち帰り、後日、パートナーのドーン・スタージェスさん（４４）にあげたという。
　スタージェスさんは被害に遭った日、瓶の液体を両手首に吹き付け、１５分も経たないうちに頭痛を訴え、風呂場で倒れたという。病院に搬送されたが、今月８日に死亡した。

■ 追記

いろいろ (2018.07.24) Mailman

　Mailman 2.1.28 での変更に不具合があり、Mailman 2.1.29 が公開されました。二木さん情報ありがとうございます。

[Mailman-Users] Mailman 2.1.29 Release (Mailman-Users ML, 2018.07.24)
Bug #1783417 : The fix for https://bugs.launchpad.net/mailman/+bug/1780874 breaks admin and listinfo overview pages (launchpad.net)

■ Chrome Stable Channel Update for Desktop
(Google, 2018.07.24)

　Chrome 68.0.3440.75 が stable に。42 件のセキュリティ修正を含む。また http なサイトは全て「保護されていません」と表示される。

■ Bluetooth SIG Security Update
(Bluetooth SIG, 2018.07.23)

　既存の Bluetooth 仕様に欠陥。Bluetooth の機能 Secure Simple Pairing および LE Secure Connections において、公開鍵の検証が必須 (require) でなく推奨 (recommends) だったため、これを実装していない機器間でのペアリングにおいて中間介入攻撃 (man-in-the-middle attack) が可能だった。

　これに対応するため、Bluetooth 仕様に対して Erratum 10734 が発行された。今後、公開鍵の検証は必須となる。

　VU#304725 - Bluetooth implementations may not sufficiently validate elliptic curve parameters during Diffie-Hellman key exchange (US-CERT, 2018.07.23) によると、具体的には楕円曲線ディフィー・ヘルマン鍵共有 (elliptic-curve Diffie-Hellman (ECDH) key exchange) における欠陥、ということになる模様。現時点において、欠陥ありとして Apple, Broadcom, Intel, QUALCOMM の名前が挙がっている。今後、順次修正されることになるのだろう。

2018.07.27 追記:

　macOS については、 Apple 方面 (iOS, tvOS, watchOS, macOS, Safari, iCloud for Windows, iTunes for Windows 更新) (2018.07.09) の About the security content of macOS High Sierra 10.13.6, Security Update 2018-004 Sierra, Security Update 2018-004 El Capitan (Apple, 2018.07.09) で修正されている。CVE-2018-5383

■ 2018.07.24

》ロシア軍サイバー部隊はこうして米民主党をハッキングした (平和博 / ハフポスト, 7/17)
》 Internet Explorer の今後について (Japan IE Support Team Blog, 7/18)。当面、IE も維持されるようです。
》プライバシーにフォーカスしたモバイル向けブラウザ「Firefox Focus」、iOSとAndroid向けに最新版が登場 (OSDN, 7/13)
》 March-April 2018 test results: More insights into industry AV tests (Microsoft Secure, 7/20)。検出できなかった 2 件は Windows Defender ATP が有効な環境では防がれた、ですか。
》『スーパーガール』S4にトランスのスーパーヒーロー登場。キャストもトランスジェンダー (石壁に百合の花咲く, 7/24)

『スーパーガール』は、オープンリー・ゲイのクリエイターであるアリ・アドラー（Ali Adler）やグレッグ・バーランティ（Greg Berlanti）がショウランナーをつとめるSFアクションドラマ。2016年に始まったS2ではレズビアンのストーリーラインを描き、大きな反響を呼びました。その『スーパーガール』のシーズン4に、今度はトランスジェンダーのスーパーヒーロー「ドリーマー」（Dreamer）が登場するんだそうです。この情報は2018年7月21日、サンディエゴ・コミコン（ San Diego Comic-Con）で発表されました。
》その女、杉田水脈 (衆議院議員; 比例中国ブロック)

　震源地
- 新潮45　2018年8月号 (新潮社)。『「LGBT」支援の度が過ぎる／杉田水脈』
　毎日
- ＬＧＢＴ「生産性なし」自民・杉田議員の寄稿が炎上 (毎日, 7/21)
- 自民・杉田議員　「生産性がない」寄稿　先輩議員が擁護と投稿　ＬＧＢＴ支援団体は抗議 (毎日, 7/23)。「LGBT 法連合会」。
  
  関連: 【声明】衆議院議員杉田水脈氏の論考「『ＬＧＢＴ』支援の度が過ぎる」に対する抗議声明 (LGBT 法連合会, 7/23)
　朝日 / ハフポスト
- 同性カップルは「生産性なし」　杉田水脈氏の寄稿に批判 (朝日, 7/23)
- 自殺したＬＧＢＴの友人も…杉田氏発言に当事者から批判 (朝日, 7/23)
- 「LGBTは生産性が無い」の杉田水脈氏、過去には「日本に女性差別はない」発言も (ハフポスト, 7/24)
　TBS ラジオ
- 【音声配信】「“マジレス”の必要あり〜自民党・杉田水脈議員のLGBTに関する『新潮45』原稿に対し、荻上チキが渾身の応答」2018年7月23日（月）放送分（TBSラジオ「荻上チキ・Session-22」） (TBS ラジオ, 7/24)
　BuzzFeed
- 「LGBTは生産性がない」自民・杉田水脈議員の寄稿文に、当事者団体が抗議 (BuzzFeed, 7/23)
　Buzzap!
- 【コラム】「LGBTは生産性がなく支援不要」騒動で振り返る自民党・杉田水脈議員の本質 (Buzzap!, 7/23)
- 「同性愛の子どもは自殺率が6倍高い」と笑いながら話す杉田水脈議員の動画をごらん下さい (Buzzap!, 7/24)
　その他
- 【選挙ウォッチャー】自民党・杉田水脈議員は今すぐ辞職するべきである。 (チダイズム / note, 7/23)
- 自民党は杉田水脈氏をなぜ処分しないか　たび重なるLGBTヘイトを受けて (ウェジー, 7/23)
- 自民党杉田水脈衆議院議員の『新潮45』への寄稿は不適切発言の特盛である (常見陽平 / BLOGOS, 7/23)
- 杉田水脈議員のLGBT差別発言は自民党公認！安倍首相は差別発言まき散らす杉田を「素晴らしい！」と絶賛 (リテラ, 7/23)
- 「自民党に入って良かった」LGBT巡る発言で大炎上の杉田水脈議員「先輩議員は『問題ない』と言ってくれた」とツイートし再炎上 (キャリコネニュース / BLOGOS, 7/23)
- 大阪府知事「オカマもゲイも納税者だから生産はしてる」が物議　ツイート削除して謝罪「不適切な表現がありました」 (キャリコネニュース / BLOGOS, 7/24)。また松井一郎か。
》『徳丸本』第2版発売記念インタビュー（前編） (TRIBECK, 7/17)。みなさんすでに購入済かと思いますが……。
》多摩都市モノレールのランサムウェア被害についてまとめてみた (piyolog, 7/24)
》米Red Hat、Spectre脆弱性変種1向けのスキャンツールを公開 (OSDN, 7/19)
》「NetBSD 8.0」リリース、USB 3のサポートやセキュリティの強化などが導入される (OSDN, 7/23)
》注目テーマの1つに「仮想通貨」～IPAが『情報セキュリティ白書2018』PDF版を無料公開 (仮想通貨 Watch, 7/24)
》ＭＲＪ、２年受注なし＝展示飛行も採算に不安 (時事, 7/23)。そりゃあそうでしょう……。

　関連: ボーイングが「MRJ」に示した“上下関係” (ニュースイッチ, 7/21)
》 B787エンジントラブルに泣いたANA、GE・IHIには追い風の明暗 (ダイヤモンド online, 7/24)。 RR Trent 1000 の不具合の件。
》バックアップも破壊する「DeOS型攻撃」（サービス破壊型攻撃）とは？ (ITmedia, 7/23)。DoS (Denial of Service) ではなく Destruction of Service (DeOS)。of を大文字にするのか小文字にするのかって、案外適当なんだろうか。
》猛暑対策展：着てみた感想は「かなり冷たい！」　JAXAの最新技術を生かした「冷却下着」を体験 (ねとらぼ, 7/23)、冷却下着ベスト型 (JAXA)。なんだかタイムスクープハンターっぽい。

化学防護服を着て救助活動を行う消防士の意見を元に量産モデルを決定し、1着6万円（税別）という低コストを実現しました。
　価格だけを聞くと高額に感じますが、それまで爆弾処理班などが使っていた冷却ベストが40万円ほどだったことを考えるとかなりのコストダウン。
》 FFFTP 2.00をリリースしました (OSDN, 4/15)。 FFFTP Project 版 FFFTP 2.0 が出ていたのですね。知らんかった。 sayurin氏による FFFTP 3.0 とば別物。
》合併で5月1日に誕生したきらぼし銀行、システム障害・行員による金銭詐取・行員が死体遺棄とトラブル続き (スラド, 7/23)。カーシャ「そうよ、みんな星になってしまえ!」、ということなのだろうか。
》エジプト、フォロワーの多いSNSアカウントをメディア規制の対象とする法案を成立させる (スラド, 7/23)

■ いろいろ (2018.07.24)
(various)

Mailman

　二木さん情報ありがとうございます。

[Mailman-Users] Mailman 2.1.28 Security Release (Mailman-Users ML, 2018.07.23)。 Bug #1780874 : Arbitrary text injection vulnerability in Mailman CGIs を修正。CVE-2018-13796

2018.07.25 追記:

　Mailman 2.1.28 での変更に不具合があり、Mailman 2.1.29 が公開されました。二木さん情報ありがとうございます。

[Mailman-Users] Mailman 2.1.29 Release (Mailman-Users ML, 2018.07.24)
Bug #1783417 : The fix for https://bugs.launchpad.net/mailman/+bug/1780874 breaks admin and listinfo overview pages (launchpad.net)

日医標準レセプトソフト

日医標準レセプトソフトにおける脆弱性情報 (日本医師会 ORCA 管理機構, 2018.07.18)。日医標準レセプトソフト 4.8.0 / 5.0.0 に OS コマンドインジェクションを許す欠陥。 4.8.0 にはバッファオーバーフローする欠陥も。

更新版が用意されている。
JVN#37376131 - 日医標準レセプトソフトにおける複数の脆弱性 (JVN, 2018.07.18)。うーん、日医標準レセプトソフトにおける脆弱性情報 (日本医師会 ORCA 管理機構, 2018.07.18) と記述が食い違っているのだが。どちらが正しいんだ?
IoT & Security Hackathon 2016 (peatix.com)。2016.03.26〜27。これの成果が今になってようやく対応されたのか、それとも、対応はもっと前にできていたけど今になってようやく情報が公開されたのか。

DLL 読み込みに関する脆弱性

Apache Tomcat Native Connector

JVNVU#99687822 - Apache Tomcat Native Connector の複数の脆弱性に対するアップデート (JVN, 2018.07.23)

Moodle

Moodle 3.5.1 and other minor versions are now available (moodle, 2018.07.09)。Moodle 3.5.1, 3.4.4, 3.3.7, 3.1.13。

■ Windows 10 で導入されたファイル形式 .SettingContent-ms がマルウェアに悪用されているのだそうで
(various)

　old news ですが……。

Malware Authors Seem Intent on Weaponizing Windows SettingContent-ms Files (bleepingcomputer, 2018.07.03)。<DeepLink> タグに任意のコマンドやら PowerShell スクリプトやらを記述できるようで。
Microsoft Blocks Embedding SettingContent-ms Files in Office 365 Docs (bleepingcomputer, 2018.07.10)、 Packager Activation in Office 365 desktop applications (Office.com)。.SettingContent-ms は最近になって禁止リストに加えられたようで。
魔法の拡張子（.SettingContent-ms） (ripjyr / SpeakerDeck, 2018.06.29)

■ 追記

2018 年 7 月のセキュリティ更新プログラム (月例) (2018.07.12)

　.NET Framework の更新プログラム、不具合のために公開が停止されたそうです。

「.NET Framework」の月例セキュリティ更新プログラムに不具合、配信が一時中断 (窓の杜, 2018.07.23)
Advisory on July 2018 .NET Framework Updates (.NET Blog, 2018.07.20)

■ 2018.07.23

》サイコパスは「うそをつく」意志決定が速い　京大などがMRIで実証 (ITmedia, 7/20)。「サイコパス傾向が高い人ほど「ためらいなくうそをつく」傾向があり、脳の前部帯状回という心の葛藤に関わる部分の活動が低い」
》「昔は泥臭い作業だった」　トンネル点検にAI、東京メトロが土木を“スマート化” (ITmedia, 7/20)
》ルーターの脆弱性を突くbotネットが相次ぐ、攻撃に加担させられる恐れも (ITmedia, 7/23)
》「『体育館のエアコン、電気代2500円かかるから使わないで』と教委からお達し」ツイートは「デマ」　箕面市長が否定 (ITmedia, 7/23)。当該デマツイートは削除済、投稿者アカウントも消滅。関連:
- 【追記】学校の体育館にエアコンが設置されるも『1回で2500円の電気代がかかるから使用しないでください』とのお達しが教育委員会から届く→デマであると箕面市長が否定 (togetter, 7/19)
- 教育委員会「体育館のエアコンは電気代が2,500円かかるから使用しないで」はデマ。箕面市長が否定 (篠原修司 / Yahoo, 7/22)
》ロボットスーツ、被災地活躍の舞台裏　「社内でかき集め、大急ぎでプログラム書き換えた」──西日本豪雨で (ITmedia, 7/23)。サイバーダイン社の例のアレ。

災害現場の過酷な環境に合わせるために、動作プログラムも短時間で書き換えた。

　実際には、何を変えたのだろう。オーバーヒート判定のしきい値とか、そういう点?

装着した人からは「腰の負荷が軽減したことを実感した」「1日の作業を終えても、疲れが残らなかった」といった声が上がったという。腰痛持ちだという中澤さんも、腰痛を発生させることなく3日連続で活動できたと話す。

　すばらしい。
》偽警告に従って電話すると片言の日本語を話すオペレーター登場、有償ソフトやサポートサービスの購入を強要 (Internet Watch, 7/19)、偽のセキュリティ警告によって有償の「ソフトウエア購入」や「サポート契約」をしてしまう相談が増加中～　インターネット利用中に表示される偽の警告画面にだまされないで！　～ (IPA, 7/18)

■ Apache Tomcat における複数の脆弱性に関する注意喚起
(JPCERT/CC, 2018.07.23)

　Apache Tomcat 7.0.x / 8.0.x / 8.5.x / 9.0.x に計 3 件の欠陥 CVE-2018-8014 CVE-2018-8034 CVE-2018-8037。 Tomcat 7.0.90 / 8.0.53 / 8.5.32 / 9.0.10 で修正。

■ 2018.07.20

》ロシアのサイバー攻撃集団「Sandworm Team」が日本の物流企業を標的に、FireEyeが観測 (Internet Watch, 7/20)
》日本政府に見捨てられた「公安スパイ」の悲惨すぎる肉声 (現代ビジネス, 7/20)

この2人以外に、中国では、6人の日本人がスパイ罪や国家機密等窃盗罪で拘束されている。
「これは氷山の一角です。'13年以降、日本から中国に入国した20人以上が中国当局に身柄を拘束されています。その大半は公安調査庁のエージェント（協力者）です」（日本政府関係者）
》「ニュース女子」で名誉毀損、在日女性が「DHCテレビジョン」と司会者を提訴へ (BuzzFeed, 7/20)

7月20日は、TOKYO MXから伊達寛社長、常務取締役らが「のりこえねっと」の辛共同代表らに都内のホテルで直接謝罪をした。放送から1年7ヶ月経っていた。

　やっとですか。

ただ、「のりこえねっと」側がかねてから求めていた検証番組の合同製作についてMX側は応じず、和解には至らなかったという。 (中略) 辛代表は、製作した「DHCテレビジョン」と番組司会者の長谷川氏に名誉を毀損されたとして、月内にも提訴することを明らかにした。

　ようやく謝罪するところまで来たが、和解には至らず、法廷で結着をつけるしかなくなったと。
》豊田市立梅坪小学校 1 年生男児死亡事件方面
- 「熱中症」で小1死亡、全国で倒れる生徒相次ぐ…学校の「責任」は問える？ (弁護士ドットコム, 7/20)
- 熱中症の疑いで小1男児死亡　高温注意情報発令も「これまで大きな問題がなかった」　会見要旨　愛知・豊田市 (中京テレビ / Yahoo, 7/18)。校長会見要旨。
  
  Q．先生から水分補給の指示はしていた？
  校長：出かけるときにもまずお茶を飲ませて、スタートをして、歩いている途中はトイレに行きたくなると大変不都合も起きるので、また着いたら飲ませてという形。帰る前に集まった時も飲ませて、遊んでいる最中にも水筒の置き場所を決めてこまめに飲むよう声をかけていた。
  
  全体指導はしていたようだが、当該男児が水分補給 (して|できて) いたのかどうかは不明なんだよなあ。
  
  Q．塩分などの対策は？
  校長：直接塩分のあるものを持たせてはいないが、万が一の場合に備えて、経口補水液は救急セットと一緒に持って行った。ただそれを飲みたいとか、飲ませなければいけないという状況が公園内では起きていなかったので、使っていなかった。
  
  結局、持っていってるだけになってるのがなあ。
- chikuwa さんのツイート:
  
  少し変更しました。
  
  《注意》
  記事によって学校の出発時間が、9時50分・10時頃・10時半頃とバラバラです。
  そのため公園滞在時間が確定できません。
  「30分」とはっきり書いてある記事もあれば、断定を避けているものもあるので、時間を変更の上で注釈を入れさせていただきました。 pic.twitter.com/DXFSp7VmTg
  — chikuwa (@chikuwa1252) 2018年7月20日
》熱中症列島
- 東京都立大泉桜高校: 講演会で生徒２５人が熱中症か　「サウナのようだった」 (朝日, 7/19)
  
  体育館に全校生徒約７００人を集めて詐欺被害防止に関する講演会を開いていた。体育館には大型の扇風機３台 (中略) 「扇風機が設置されていたが、気休め程度。蒸し風呂のようだった」
- 下増田小学校 (宮城県名取市): 熱中症疑いで児童３８人搬送　宮城・名取市 (東北放送 / Yahoo, 7/18)。「１８日午前９時頃から全校児童と教職員が集まり (中略) 人文字をつくっていた」
- 京都拘置所: 熱中症疑いで２被告搬送 (ロイター, 7/19)、京都拘置所で熱中症の疑い１人重体 (MBS, 7/19)。「拘置所内には窓や通気口はあるものの冷房は設置されておらず」
- 熱中症で搬送、1週間で9956人。消防庁「迷わず119番で救急車を呼んで」 (ハフポスト, 7/18)。「1週間で9956人」は 7/9〜15の消防庁統計。
- 熱中症で１０人死亡　搬送２６００人超 (毎日, 7/19)。共同通信調べ、7/19 の状況。「全国集計で２６０５人に上り、７県で１０人が死亡」。
- 滋賀　熱中症対策、課外活動の中止相次ぐ　県教委「特別な配慮必要」 (中日, 7/20)
- 地方大会の熱中症対策呼びかけ　朝日新聞社と日本高野連 (朝日, 7/19)。「全国高等学校野球選手権大会」は、そろそろ開催場所をどこか別のドーム球場に変更すべきであろ。
- 「暑さ指数」知ってる？　熱中症予防へ被災地でも活用を (朝日, 7/20)
》セクハラやネット炎上と戦う「女性アナウンサー」のドラマ　 NY在住日本人が製作するワケ (DANRO, 7/16)

「報道バズ」の撮影は、2016年にすでに完了しています。しかし、映像の編集作業や音楽制作にかかる一部の費用が足りず、完成が遅れています。そこで必要な資金を集めるために、7月11日からクラウドファンディングサイト「キックスターター」で、支援を募り始めました。目標額は、3万ドル（約340万円）です。
》 MSがWindows 10 IoT Core Servicesのパブリックプレビューを開始 (CNET, 7/20)
》＠ITセキュリティセミナー2018.6-7：映画のワンシーンみたいな状況でフォレンジック解析――インターポールのサイバー犯罪捜査の現場とは (@IT, 7/19)。福森大喜氏。
》【悲報】齋藤ウィリアム浩幸氏、内閣府の特別顧問辞任後も、海外で現役と偽って活動した為、サイバーセキュリティサミットに招待されてしまう？ (黒翼猫のコンピュータ日記 2nd Edition, 7/9)。わけがわからないよ。
》分断された国民民主、野党内ブーイングに涙　カジノ法案 (朝日, 7/20)
》水上バイクで来たヒーロー　１５時間かけ１２０人救う (朝日, 7/19)
》炎上居酒屋「赤坂自民亭」　各紙読み比べで見えてきた「ギョッとする事態」 (プチ鹿島 / 文春オンライン, 7/20)、１１万人避難指示の夜に「赤坂自民亭」適切だったか検証 (朝日, 7/13)
》 PSIRT Framework のご紹介 (Cybozu Inside Out, 7/18)

■ いろいろ (2018.07.20)
(various)

PHP

PHP 5.6.37 Release Announcement (PHP, 2018.07.20)
PHP 7.0.31 Release Announcement (PHP, 2018.07.20)
PHP 7.1.20 Release Announcement (PHP, 2018.07.20)
PHP 7.2.8 Release Announcement (PHP, 2018.07.20)

Apache httpd

　iida さん情報ありがとうございます。

Fixed in Apache httpd 2.4.34 (Apache HTTP Server 2.4 vulnerabilities, 2018.07.18)。 2 件のセキュリティ欠陥 (low x 1, moderate x 1) を修正。 CVE-2018-1333 CVE-2018-8011
Changes with Apache 2.4.34 (Apache)

Wireshark

ネットワークプロトコルアナライザー「Wireshark」v2.6.2/2.4.8/2.2.16が公開 (窓の杜, 2018.07.19)
Wireshark 2.6.2, 2.4.8 and 2.2.16 Released (Wireshark, 2018.07.18)

■ 追記

2018 年 7 月のセキュリティ更新プログラム (月例) (2018.07.12)

　更新プログラムの不具合の件、MS 公式ブログで解説されてました:

7 月の更新プログラムを適用すると Stop エラーなどの問題が発生する (Ask the Network & AD Support Team, 2018.07.19)

[ 原因 ]
OS の tcpip.sys ドライバーの問題により、NSI (Network Store Interface) サービスに対して TCP コネクションテーブル等のネットワークに関する情報の要求があった場合に、タイミングによって問題が発生する可能性があります。
このような NSI に対する要求は OS の通常動作時にも発生し得ます。
また、Microsoft Network Monitor や Wireshark などの Network Monitoring ソフトが動作している環境では、特に頻繁に発生するため、問題の発生確率が上がります。

更新プログラムが公開されているので適用すればよい。マンスリーロールアップの場合についても記載されている。

■ 2018.07.19

》日EU間の相互の円滑な個人データ移転を図る枠組み構築に係る最終合意 (個人情報保護委員会, 7/17)
》アメダスの気温の数字より私たちは暑い中で過ごしていた！ (ウェザーニュース, 7/18)

私たちが実際に暮らしているのはアスファルトなどで、反射熱の影響を多く受けています。(中略) およそ1.5mの所で息をしている大人の顔の回りが30℃の場合、小さい子どもの顔の回りでは38℃くらいにも達し、ベビーカー内の乳幼児やペットはもっと厳しい環境で過ごしているのです。
》豊田市立梅坪小学校 1 年生男児、熱中症で死亡 (7/17)
- 小１男児が熱中症で死亡　校外学習中に「疲れた」訴え (朝日, 7/17)
- 「エアコンある教室にとどまる勇気を」　熱中症の専門家 (朝日, 7/17)
  
  熱中症に詳しい兵庫医科大特別招聘（しょうへい）教授の服部益治さん (中略) 「命は他のなにものにも代えられない。高温注意情報が出たときは原則、炎天下の外に出ず、野外活動は中止すべきだ」
- 熱中症で小１死亡、全校集会で説明　校長は改めて謝罪 (朝日, 7/18)
- 熱中症で小１死亡、校長「判断甘かった」　遺族に謝罪 (朝日, 7/19)。ようやく状況がわかってきた。
  
  午前１０時ごろ、毎年恒例の虫捕りの校外学習のため、約１キロ離れた和合公園へ (中略) 途中で男児は「疲れた」と訴え、他の児童から遅れがちになったが、約２０分の道のりを歩き続け (中略) 公園で３０分ほど虫捕りや遊具遊びをした後、学校に戻る途中、男児は再び「疲れた」と訴えた。担任の女性教諭は男児と手をつなぎ、午前１１時半ごろ学校に戻った。
  　教室にエアコンはなく、天井の扇風機４台を回した。学校が後に測ると室温は３７度に上っていた。
  　教室では担任が男児を見守っていたが、唇がみるみる紫色になり、午前１１時５０分ごろ意識を失った。まもなく病院に運ばれたが、午後０時５６分に死亡が確認された。
  
  体調が悪い児童を炎天下でつれ回したうえ、クソ暑い教室に放置して死を招いたと。
  
  経緯を見てわかるのは、医療専門家が一切登場しないこと。医療専門家が同行していない、医療専門家の助言を求めていない。「いざという時」を全く想定していなかったのではないのか。何から何まで漫然と実施した結果、死者が出たのではないのか。
  
  予防策の実施状況がよくわからない。何もしていない?
- 男児熱射病死　救急要請遅れか　マニュアル具体的指示なし (毎日, 7/19)
  
  男児は学校へ戻ると風通しの良い教室の一角で休んだが、体調が急速に悪化、２０分後に意識を失った。１１９番し病院へ向かったのはその２０分後だった。
  
  うわあ。
  
  日本救急医学会の対処法では、軽症の「１度」でも改善しなければすぐ病院へ搬送を求める。一方、市教委が５月に各校に配布したマニュアルには「適切な処理を行う」とあるだけで、どんな症状なら急いで１１９番すべきかなど具体的な指示はない。
  
  クソの役にも立たないマニュアルを配って、何かやったつもりになっていたということか。
- 小１の熱中症死、豊田市が小学校のエアコン設置前倒しへ (朝日, 7/18)
  
  市内の市立小・中学校と特別支援学校計１０４校には、一部の特別教室を除いて扇風機しかなかった。
  
  豊田市、小・中学校エアコン普及率 0%!!!!!!!!!!!!!
- 各種ツイート:
  
  豊田市のような国内トップクラスの財政の豊かさを誇る自治体が公立小学校エアコン普及率0%。金もある、国からも設置補助金が出るにもかかわらず、頑なにエアコン設置を拒否し続けた結果が今日の悲劇。これは金のある、なしではなく、地方行政に関わる人の問題。 https://t.co/Ioj0fbTqs1
  — funnel01 (@funnel01) 2018年7月17日
  
  思わず豊田市の今年度予算調べちゃったよ。小中学校のエアコン整備費に約1億4千万円、タブレットの導入に約6億円。優先度がおかしいと思う。タブレットがなくても授業はできるし子どもは死なない。https://t.co/UR5hcIxyG1
  — なつめ (@na2me321) 2018年7月18日
- 公立学校施設の空調（冷房）設備設置状況の結果について (文科省, 2017.06.09)。2017.04.01 現在。これが最新の統計みたいで、今年版はまだないっぽい。
- 熱中症注意喚起のための温湿度計の設置 (豊田市立梅坪小学校, 7/19)
》発掘！オリンピック秘史　「五輪予選」はなぜ密室で行われたのか　前編 (毎日, 7/18)。「１９７５年「日本ｖｓ．イスラエル」　ハンドボール国際試合の謎」

結局、密室試合に踏み切った理由は何か。杉山は語る。
「やはりオリンピックですよ。日本でのハンドボールが知名度を上げて、国内でも関心を高めてゆく、その手っ取り早い方法がオリンピックしかなかったからですよ。

　関連: サンデー毎日で「ハンドボール」の秘史公開 (handball-station, 7/17)
》英紙も警告 2020年の東京五輪は“殺人オリンピック”になる (日刊ゲンダイ, 7/19)。関連:
- 東京2020オリンピック競技大会セッションスケジュールの公表について史上最多33競技の熱狂が続くエキサイティングな夏！ (東京オリンピック･パラリンピック競技大会組織委員会, 7/18)
- ＜東京五輪＞暑さ回避、マラソン午前７時　屋外時間繰り上げ (毎日 / Yahoo, 7/18)。いっそ未明からにすればいいのに。
》「進次郎狂い」「くたばれよ」安倍チルドレンが美人前議員にストーカーメール1日200通 (文春オンライン, 7/18)。安倍チルドレン = 中川俊直・前衆議院議員 (広島4区)。美人前議員 = 前川恵・前衆議院議員 (比例東京ブロック)。

「実は、前川先生は2年8カ月以上にわたって中川先生から酷いメールをほぼ毎日のように送りつけられているんです。日に200通を超える日も多く、昼夜問わず届いている状態」（事務所関係者）

　関連:
- 中川俊直氏、女性問題で政務官辞任「重婚ウェディング」と週刊新潮がツイート (ハフポスト, 2017.04.19)
- 中川俊直経済産業政務官が辞任、女性問題で事実上更迭　党幹部「できの悪いやつは交代」 (zakzak, 2017.04.19)
- 週刊新潮　2017年4月27日号 (新潮社)。「好色は「元官房長官」の父譲りだった「中川俊直代議士」　ハワイの「重婚」写真で一発辞任！「ストーカー登録」された経産省バカ政務官!!」
  - 重婚ウェディング「中川俊直」バカ政務官全文（1）　元愛人が語るハワイでの挙式 (週刊新潮 2017年4月27日号掲載)
  - 重婚ウェディング「中川俊直」バカ政務官全文（2）　土下座号泣で「ストーカー登録」 (週刊新潮 2017年4月27日号掲載)
  - 重婚ウェディング「中川俊直」バカ政務官全文（3）　「男女の関係がありました」60分間に亘った”弁明” (週刊新潮 2017年4月27日号掲載)
  - 重婚ウェディング「中川俊直」代議士　「週刊新潮」記者との一問一答を全文掲載　「どんな制裁でも受けます」 (週刊新潮)。「記事掲載前の4月15日20時45分から行われた、記者と中川議員との一問一答」
- 不倫報道で政務官辞任中川俊直衆院議員が自民党を離党へ (日刊ゲンダイ, 2017.04.21)
- 重婚ストーカー「中川俊直」お詫び行脚でトンデモ釈明　婦人部は解散 (週刊新潮 2017年7月6日号掲載)
- 不倫で自民党離党の中川俊直衆院議員「お詫び＆再起パーティー」で大ブーイング (AERA dot., 2017.07.14)
- 女性問題で政務官辞任の中川俊直議員「生き恥をさらしてでも仕事していこうと」…騒動後初の会見で議員続ける意向示す (スポーツ報知, 2017.07.29)
- 中川俊直氏、出馬を断念　不倫問題で自民離党 (朝日, 2017.10.01)
- 重婚＆ストーカー疑惑「中川俊直」前代議士が政治活動再開　安倍総理も応援？ (デイリー新潮, 7/10)。「政治活動再開」の矢先に登場したネタだったのですね。
》 (朝鮮日報日本語版) 【社説】CVIDどころか期限もなし、選挙にしか関心がないトランプ大統領 (朝鮮日報 / Yahoo, 7/19)

■ ソーシャルウェブサービスにおける新たなプライバシー脅威「Silhouette」を発見～Twitter、Microsoft、Mozillaらに働きかけ、世界の主要サービス・ブラウザのセキュリティ機構を改善～
(NTT, 2018.07.18)

　各種 SNS のブロック機能を悪用することで、攻撃者が用意した web サイトに訪問したユーザーの SNS アカウント名を特定できてしまう状態だった模様。

NTTでは、この新たな脅威に対してSWSが脆弱であるか評価する手法を確立しました。また、世界的に著名な複数のSWSにおいて実際にアカウント名が特定されうる状態にあることを解明し、SWSの事業者に対して脅威の詳細や対策方法の共有と、対策の有効性を検証する実験協力を行いました。この取り組みを受けて、TwitterなどのSWSが仕様変更によってセキュリティ機構を向上させ、アカウント名特定の脅威を未然に防ぐことができました。さらに、Microsoft Edge、Internet Explorer、Mozilla Firefoxといった主要ブラウザにおいて、本研究や類似手法によって発生しうる脅威を回避するためにCookieのSameSite属性（※4）が追加されました。
(中略)
※4 (中略) 本研究成果の以前には、Google ChromeやOperaといったChromium系ブラウザのみで利用可能であった。

　この研究成果を使った攻撃については、現在は対応されているようだ。

　関連:

SNSアカウント特定の研究成果が報道発表されました (早稲田大学基幹理工学部情報通信学科森達哉研究室, 2018.07.18)
ソーシャルウェブサービスにおける新たなプライバシー脅威「Silhouette」について (NTT)

■ 2018.07.18

》動画の無断再アップロードを検出するYouTubeの新ツール「Copyright Match」 (スラド, 7/18)
》 OpenSCAPで脆弱性対策はどう変わる？（1）： SCAP（セキュリティ設定共通化手順）とは何か――CVE、CVSS、CPEについて (@IT, 7/12)
》不正アクセスによるホームページ改ざんに関するご報告 (日本セーリング連盟, 7/18)
》レンタルサーバでWordPressを運用する際のコツと注意点〜第4回〜 (さくらのナレッジ, 7/17)
》安倍首相宅放火未遂事件「18年目の真実」●山岡俊介（前編）安倍事務所が暴力団に通じる人物に選挙妨害を依頼していた決定的証拠！「安倍代議士に選挙妨害を報告」の記述も (リテラ, 7/6)、（後編）安倍首相は選挙妨害を依頼した前科8犯の男と密室で何を話したのか？全容が記録された秘書の署名捺印入り文書が (リテラ, 7/7)
》アベ友と極右教科書をめぐる利権の構造（前編）安倍首相のブレーン・八木秀次率いる極右教育団体に1200万もの公費が横流し！教科書採択運動の裏にアベ友利権 (リテラ, 7/17)
》山本太郎参議院議員、「安倍晋三自宅放火未遂事件」について安倍首相に質問 (野良放送 / note, 7/17)、山本太郎が安倍首相にあの放火未遂スキャンダルを質問！「暴力団と繋がる人物に選挙妨害を発注する人間が総理なのか」 (リテラ, 7/17)
》ファーストサーバのZenlogic、ストレージ障害の原因は想定以上の負荷、対策したはずの設定にミスがあったため長期化 (Publickey, 7/18)
》多摩都市モノレール、本社一般業務系ファイルサーバがランサムウェアに感染 (7/9)
- サイバーセキュリティ被害について (多摩都市モノレール, 7/13)
- 多摩モノレールのランサムウエア被害、データ復旧のめど立たず (日経 xTECH, 7/17)
》セブン‐イレブンの生ビールサーバー「本部からの指示により提供中止」に　今後の提供については「未定」 (ねとらぼ, 7/17)

　関連: cdb さんのツイート:

中止の理由は不明で、飲酒運転の助長？など諸説出てるんですが、カップ酒より安い一杯100円で、その場で飲んでおかわりで溜まって騒げるサーバーを置いて、なぜそのコンビニ店舗が出禁のきかない無法酒場にならないと思うのか、高級住宅地に住む企画の人にはそれが判らんのですhttps://t.co/LH2Cv9R8xF
— cdb (@C4Dbeginner) 2018年7月17日

■ 2018年 7月 Oracle 製品のクリティカルパッチアップデートに関する注意喚起
(JPCERT/CC, 2018.07.18)

　Oracle 四半期定例 patch 出ました。Java SE は 8u181 と 10.0.2 になってます。ダウンロード。 Oracle Java SE サポート・ロードマップもどうぞ。

■ 追記

2018 年 7 月のセキュリティ更新プログラム (月例) (2018.07.12)

　上記、Windows 10, version 1607 / 1703 / 1709 について追加した。

　また、Windows Server 2012、Windows 8.1 / Server 2012 R2 用の .NET Framework 更新プログラムについても不具合があるそうで:

Security and Quality Rollup updates for .NET Framework 3.5 SP1, 4.5.2, 4.6, 4.6.1, 4.6.2, 4.7, 4.7.1 and 4.7.2 for Windows Server 2012 (KB 4340557) (Microsoft)

Users receive a "0x80092004" error when they try to install the July 2018 Security and Quality Rollup update KB4340557 or KB4340558 on Windows 8.1, Windows Server 2012 R2, or Windows Server 2012 after they install the June 2018 .NET Framework Preview of Quality Rollup updates KB4291497 or KB4291495 on systems that are running on .NET Framework 4.7.2, 4.7.1, 4.7, 4.62, 4.6.1, or 4.6.
Security and Quality Rollup updates for .NET Framework 3.5 SP1, 4.5.2, 4.6, 4.6.1, 4.6.2, 4.7, 4.7.1 and 4.7.2 for Windows 8.1, RT 8.1, and Server 2012 R2 (KB 4340558) (Microsoft)

Users receive a "0x80092004" error when they try to install the July 2018 Security and Quality Rollup update KB4340557 or KB4340558 on Windows 8.1, Windows Server 2012 R2, or Windows Server 2012 after they install the June 2018 .NET Framework Preview of Quality Rollup updates KB4291497 or KB4291495 on systems that are running on .NET Framework 4.7.2, 4.7.1, 4.7, 4.62, 4.6.1, or 4.6.

　2018.07.17 付で新しい .NET Framework patch (KB4340557, KB4340558) が流れてきているので、上記が修正されているのかな?

■ 2018.07.17

》運動部のみんな、熱中症「無理」「もうダメだ」の勇気を (中小路徹 / 朝日, 7/14)

日本スポーツ協会はこのＷＢＧＴが２５～２８度になると「積極的に水分、塩分を補給する」、２８～３１度だと「激しい運動や持久走は中止」という指標を出しています。そうした状況では練習には細心の注意が必要なのですが、正しい知識を持たず、認識が甘い先生がいるのが事実です。

　まずは甲子園で、WBGT をリアルタイム計測・リアルタイム表示・リアルタイム警告すればよいのでは。関連:
- 暑さ指数（ＷＢＧＴ）の詳しい説明 (環境省)
- 暑さ指数(WBGT)の実況と予測 (環境省)
- WBGT指数による暑熱環境評価と，電子式WBGT測定器のJIS化について (労働安全衛生総合研究所)
》プッシー・ライオット方面
- サッカーW杯決勝に乱入のパンクバンドメンバーに禁錮刑 (AFPBB, 7/17)
》日本人は礼儀もアップデートできていない。礼儀2.0世代が感じる｢相手の時間を奪う｣非効率なマナー (西山里緒、伊藤有 / Business Insider, 7/9)

GOROmanさんによると｢礼儀1.0｣は相手のために自分がいかに時間を使ったかに価値がおかれる。 (中略) 一方で｢礼儀2.0｣はいかに相手の時間を奪わないかが重要だという。

　可処分時間は常に枯渇しているからなあ。
》電車内に設置されている「非常ボタン」押すとどうなるの？ (Excite, 2012.11.30)
》【特集】９０％もカット“超節水ノズル”　東大阪の技術に世界が注目 (MBS / Yahoo, 7/16)
》デスクトップ版Chrome 67、Spectreなどの対策としてSite Isolationが有効に (スラド, 7/14)
》新MacBook Proのキーボードが静音化したのは埃侵入対策の副作用？ (スラド, 7/16)

■ 追記

2018 年 7 月のセキュリティ更新プログラム (月例) (2018.07.12)

　今回の更新プログラムにはいくつか不具合があったようで、対応の更新プログラムが公開されているものがあります。例:

Windows 7 SP1 / Server 2008 R2 SP1	July 10, 2018—KB4338823 (Security-only update) (Microsoft) After installing this update, some devices running network monitoring workloads may receive the 0xD1 Stop error because of a race condition. Restarting the SQL Service may fail occasionally with the error, “Tcp port is already in use”. When an administrator tries to stop the World Wide Web Publishing Service (W3SVC), the W3SVC remains in a "stopping" state, but cannot fully stop or be restarted. KB4345459 で修正されている。 July 10, 2018—KB4338818 (Monthly Rollup) (Microsoft) There is an issue with Windows and third-party software related to a missing file (oem<number>.inf). Because of this issue, after you apply this update, the network interface controller will stop working. 他、KB4338823 と同じ 3 件最初のものについては回避策を記載、他のものについてはまだ作業中、になっている。
Server 2012	July 10, 2018—KB4338820 (Security-only update) (Microsoft) After installing this update, some devices running network monitoring workloads may receive the 0xD1 Stop error because of a race condition. Restarting the SQL Service may fail occasionally with the error, “Tcp port is already in use”. When an administrator tries to stop the World Wide Web Publishing Service (W3SVC), the W3SVC remains in a "stopping" state, but cannot fully stop or be restarted. KB4345425 で修正されている。 July 10, 2018—KB4338830 (Monthly Rollup) (Microsoft)。上記と同じ不具合が列挙されているが、まだ作業中、になっている。
Windows 8.1 / Server 2012 R2	July 10, 2018—KB4338824 (Security-only update) (Microsoft) After installing this update, some devices running network monitoring workloads may receive the 0xD1 Stop error because of a race condition. Restarting the SQL Service may fail occasionally with the error, “Tcp port is already in use”. When an administrator tries to stop the World Wide Web Publishing Service (W3SVC), the W3SVC remains in a "stopping" state, but cannot fully stop or be restarted. KB4345424 で修正されている。 July 10, 2018—KB4338815 (Monthly Rollup) (Microsoft)。上記と同じ不具合が列挙されているが、まだ作業中、になっている。
Windows 10, version 1803	July 10, 2018—KB4338819 (OS Build 17134.165) (Microsoft) After installing this update on a DHCP Failover Server, Enterprise clients may receive an invalid configuration when requesting a new IP address. This may result in loss of connectivity as systems fail to renew their leases. After installing this update, some devices running network monitoring workloads may receive the 0xD1 Stop error because of a race condition. Restarting the SQL Server service may fail occasionally with the error, “Tcp port is already in use”. When an administrator tries to stop the World Wide Web Publishing Service (W3SVC), the W3SVC remains in a "stopping" state, but cannot fully stop or be restarted. KB4345421 で修正されている。

■ 2018.07.16

》【選挙ウォッチャー】総理大臣以下、日本の大臣たちがことごとく使えない件。 (チダイズム / note, 7/15)
》【特別寄稿】「西日本豪雨災害は歴代自民党政権の人災だ」！河川政策の専門家で日本初の流域治水条例をつくった嘉田由紀子・前滋賀県知事インタビュー（ジャーナリスト・横田一） (IWJ, 7/15)

滋賀県知事になる頃から『矢板（注1）やコンクリートで周りを囲むアーマーレビー工法で鎧型堤防（注2）にして補強すべき』と国に提案して来ましたが、歴代の自民党政権は『鎧型堤防は当てにならない。堤防補強よりもダム建設だ』と言って来た。この優先順位による河川政策が今回の豪雨災害でも大きな被害をもたらした」。
》サイランス、エンドポイント保護「CylancePROTECT」をクローズド環境などで運用するためのオプション製品を提供 (三柳英樹 / クラウド Watch, 7/12)

機械学習によるエンジンを利用するため、インターネットに接続されていない端末などでも利用できる点が特徴となっているが、管理コンソールはクラウドで提供されているため、インターネット接続が限定的またはクローズドな環境の場合、管理面に課題があった。

　これまでオンプレ対応の管理ツールがなかったのだそうで。むしろ、そういう環境でこそ使いたいような製品だと思っていたのだが。
- CylanceHYBRID: 一部のシステムが外部と通信可能な環境用。 CylanceHYBRID が cache/proxy サーバーとして動作する。追加費用不要。
- CylanceON-PREM: 完全クローズド環境用。追加費用必要。
　関連: Cylanceがオンプレミス向けの管理オプション出す理由 (ascii.jp, 7/14)。
》オウム真理教の痕跡をクリミアで見た。今もロシアに残る麻原彰晃の幻影 (関根和弘 / ハフポスト, 7/11)
》プッシー・ライオット、サッカー・ワールドカップロシア大会決勝戦で「Policeman enters the Game」を実施
- pussy riot さんのツイート:
  
  NEWS FLASH! Just a few minutes ago four Pussy Riot members performed in the FIFA World Cup final match — ”Policeman enters the Game”https://t.co/3jUi5rC8hh pic.twitter.com/W8Up9TTKMA
  — 𝖕𝖚𝖘𝖘𝖞 𝖗𝖎𝖔𝖙 (@pussyrrriot) 2018年7月15日
  
  UPDATED VIDEO "Policeman enters the Game" — "Полицейский вступает в Игру"! Please don't forget to turn on subtitles if you need English. https://t.co/8uSMSIe9K6
  — 𝖕𝖚𝖘𝖘𝖞 𝖗𝖎𝖔𝖙 (@pussyrrriot) 2018年7月16日
- Men in Blazers さんのツイート:
  
  THIS. ALL THIS 🙌 pic.twitter.com/tOtCx39owk
  — Men in Blazers (@MenInBlazers) 2018年7月15日
- Pussy Riot Rushes the Field at the World Cup (VOGUE, 7/16)
- Pussy Riot Members Detained After Running Onto the Field in World Cup Final, Police Say (NYTimes, 7/15)
- Pussy Riot claim responsibility for World Cup final pitch invasion - video (Guardian, 7/15)
- ワールドカップの決勝戦で乱入した男女は、あの有名なグループだった (関根和弘 / ハフポスト, 7/15)
- ワールドカップ決勝に乱入したプッシー・ライオットとは？「黒幕」のインタビューから迫る (関根和弘 / ハフポスト, 7/15)
- pussy riot が何者なのか知らない報道の例:
  - ロシアＷ杯　決勝に水を差す愚行　男女４人が乱入 (毎日, 7/16) (archive.is)
  - 時事通信さんのツイート (サポーターではありません) (ツイート削除されたようで):
    
    【サッカーW杯・決勝】後半、乱入するサポーター（左から２人目）です。１５日、ロシア・モスクワ。#WorldCupFinal #W杯決勝 pic.twitter.com/nJ5qkdfk6y
    — 時事通信映像ニュース (@jiji_images) 2018年7月15日
    
    後で気づいたらしい記事: サッカーＷ杯決勝、乱入で一時中断＝反体制派バンド (時事, 7/16)

■ 2018.07.13

》加計学園獣医学部方面
- 「ゆがめられた行政」の現場へ—獣医学部新設の「魔法」 (早稲田大学法学部水島朝穂, 7/9)
  
  関連: 加計獣医学部図書館に本のない大学の設置認可は前代未聞 (高野孟 / 日刊ゲンダイ, 7/12)
- 岡山・加計学園　獣医学部新設問題　首相、疑惑一掃至らず　加計氏会見と矛盾　参院予算委 (毎日, 6/26)。6/25 参議院予算委員会の記事。
- 「加計学園」問題を時系列で振り返る　坂東太郎のよく分かる時事用語 (THE PAGE, 7/4)
- 岡山・加計学園　獣医学部新設問題　理事長、再会見予定なし (毎日, 7/5)。7/4 に見解発表。
- 岡山・加計学園　獣医学部新設問題　理事長会見　知事「責任果たして」　／愛媛 (毎日, 7/6)
- 愛媛県議会「加計学園、説明責任果たせ」全会一致で採択 (朝日, 7/12)。採択したのは 7/11。
- 文科白書、教員の働き方改革特集　「加計」は数行だけ (日経, 7/13)
》 Chrome が非 HTTPS サイトに「保護されていません」と表示、2018 年 7 月下旬開始予定 (トレンドマイクロセキュリティ blog, 7/10)
》 Twitterが「ロックされたアカウント」をフォロワー数から除くと発表、フォロワーが大幅に減少するアカウントがある可能性も (gigazine, 7/12)。実際に実施された模様です。
》コラボレーション・プラットフォームについて（第2回開催のご案内） (IPA, 7/11)。2018.07.23、東京都文京区、たぶん無料。ただし個人参加は不可。
》無料セキュリティソフト「Sophos Home」日本語版の提供開始 (Internet Watch, 7/10)
》 WSUS 上に配信が必要な更新プログラムが同期されてこない！と思ったら (Japan WSUS Support Team Blog, 7/12)

■ 新たなサイドチャンネル攻撃 TLBleed 登場
(various)

　また出ました。

TLBleed (VUSec)。 Black Hat USA 2018 で発表される予定: TLBleed: When Protecting Your CPU Caches is Not Enough (Black Hat)
Intel CPUの脆弱性「TLBleed」は修正困難 - OpenBSD開発者 (後藤大地 / マイナビニュース, 2018.06.26)
インテルのCPUに新たな脆弱性「TLBleed」--インテルは有効性を否定 (ZDNet, 2018.06.27)
Temporal side-channels and you: Understanding TLBleed (Red Hat, 2018.06.28)
TLBleed : Trasnlation Leak-aside Buffer の論文を読む (FPGA開発日記, 2018.07.13)

■ いろいろ (2018.07.13)
(various)

VMware Tools

VMSA-2018-0017 - VMware Tools update addresses an out-of-bounds read vulnerability (VMware, 2018.07.12)。Windows 版 VMware Tools 10.x 以前に欠陥、10.3.0 で対応。 CVE-2018-6969

cURL

SMTP send heap buffer overflow (cURL, 2018.07.11)。cURL 7.54.1〜7.60.0 に欠陥、7.61.0 で対応。 CVE-2018-0500。patch。

　関連:

Windows DNSの脆弱性情報が公開されました（CVE-2018-8304） (JPRS, 2018.07.12)
マイクロソフト月例パッチ（Microsoft Patch Tuesday）- 2018 年 7 月　今月は、53 個のパッチがリリースされており、そのうち 17 件が「緊急」レベルです。 (シマンテック, 2018.07.11)

いろいろ (2018.07.09) Aterm HC100RC, W1200EX / W1200EX-MS, W300P, W500P, WF300HP2, WF800HP, WG1200HP, WG1200HP2, WG1200HS, WG1200HS2, WG1900HP, WR8165N

WG1200HP, W300P, HC100RC についてより詳細な情報が開示された模様:

JVN#00401783 - Aterm WG1200HP における複数の OS コマンドインジェクションの脆弱性 (JVN, 2018.07.12)
JVN#84825660 - Aterm HC100RC における複数の脆弱性 (JVN, 2018.07.12)
JVN#26629618 - Aterm W300P における複数の脆弱性 (JVN, 2018.07.12)
Atermシリーズに複数の脆弱性 (NEC, 2018.07.12)

他の奴も似たりよったりということなんですかねえ。

■ 2018.07.12

》出版業界が軽減税率の適用目指して「有害図書排除」へ　「何を以て『有害』指定するのか。何がエロになるのか不明」と懸念する声も (キャリコネニュース, 7/10)。出版業界が「有害図書」を規定するのだそうで。アホか。
》平成３０年版情報通信白書による、日本人はソーシャル全然利用してないの図とその理由 (More Access! More Fun!, 7/9)

日本人は他国の人と比べ、異様なほど

ソーシャルで知り合った人を信頼せず
ソーシャル以外のネットで知り合った人を信用せず
そもそも他人を全く信用しない

ということが分かる。これの根底にあるのが、日本人の特性として

そもそも他人を見定める能力がないと感じる

があるのがわかる。各国の人たちは８割方「自分は信用できる人かどうかだいたい分かる」と回答するのに、日本人は４割もいない。これ、日本がグローバル化についていけない最大の問題のような気がします。

　もしかして: アベ氏の支持率が高止まりなのも、同じ理由かなあ。
》信頼性の低い陸自の無人偵察機が訓練中に行方不明 (清谷信一 / BLOGOS, 2016.06.24)
》 Windows Server 2016 で Windows Error Reporting (WindowsUpdateFailure) が多量に出力される (Japan WSUS Support Team Blog, 7/11)
》更新プログラムのインストール処理を改善するサービススタック更新プログラムについて (Ask CORE, 7/12)

Windows 10, Windows Server 2016 では累積更新プログラムという仕組みが採用され、多くの修正が一つの更新プログラムにパッケージされました。また過去の月の分も累積的に修正を含むようになったため、最新の累積更新プログラムを適用するだけで必要な修正が網羅的に反映されるようになっています。しかし、累積更新プログラムに含まれない OS の修正というのが例外としてあり、サービススタックの更新プログラムが該当しますので、累積更新プログラムとは別に適用が必要です。
》東京五輪期間中は「ネット通販ひかえて」前回はなかった混雑リスク、協力呼びかけ (オリコンニュース, 7/9)。関連:
- SOW＠6/1新刊八巻発売！さんのツイート:
  
  「オリンピックのために、ネット通販控えて」という意見に、連想したのはまっさきにコレだった。 pic.twitter.com/2H7M4ghnU5
  — SOW＠6/1新刊八巻発売！ (@sow_LIBRA11) 2018年7月10日
》「Officeはいらないから安くして」Surface Go日本発売で落胆の声 (techwave, 7/11)。ほんとそれ。

　関連: 【Surface Go を発表】やりたいことが、軽がるできる「Surface Go」を、明日 7 月 12 日（木）予約開始、8 月 28 日（火）発売 (Windows Blog for Japan, 7/11)

一般向けモデルには、Office Home & Business 2016 を搭載しています。法人向けモデル、教育機関向けモデルは Office 非搭載です。

　なんじゃそりゃ。
》 Zenlogic 方面
- 障害・メンテナンス情報 (Zenlogic)。結局、「6月19日より一部のお客様で発生している高負荷障害」については 7/10 11:00 に対応完了した、という理解でいいのだろうか。何度読んでもよくわからない。
- 【お詫び】ＨＰメンテンナンスについて (大森ペット霊園, 7/10)
  
  長年使用していましたサーバーでありますが、今回まで二度の不祥事事件があったこともあり、サーバー会社を変更させていただくことに決定しました。

■ 注意! 2019年2月から主要DNSサーバソフトウェアの挙動が変わります
(JPNIC, 2018.07.10)

　BIND・Knot Resolver・Unbound・PowerDNS Recursor における、EDNS に対応しない/できない機器への回避策の実装を、2019.02.01 以後はもうやめる (削除する) そうです。堪忍袋の緒が切れた、という感じでしょうか。

　とりあえず、https://dnsflagday.net/ を見ながらテストするのが吉のようです。

■ 追記

Key Reinstallation Attacks - Breaking WPA2 by forcing nonce reuse (2017.10.17)

　Apple Boot Camp が 6.4.0 で対応されました:

About the security content of Wi-Fi Update for Boot Camp 6.4.0 (Apple, 2018.07.05)

Security updates available for Adobe Acrobat and Reader | APSB18-09 (2018.05.15)

　Security updates available for Adobe Acrobat and Reader | APSB18-09 ですが、2018.05.25 付の変更で、Track 名称が Consumer から Continuous に改訂されていました。

■ 2018 年 7 月のセキュリティ更新プログラム (月例)
(Microsoft, 2018.07.11)

　出ました。IE / Edge, Windows, Office, SharePoint, ChakraCore, Flash Player, .NET Framework / ASP.NET, Microsoft Research JavaScript Cryptography Library, Skype for Business / Lync, Visual Studio, Wireless Display Adapter V2, PowerShell Editor Services / Extension for Visual Studio Code, Web Customizations for Active Directory Federation Services。多いね!

　EMET は 2018.07.31 でいよいよサポート終了だそうです。手元の Windows 7 機の移行作業も実施しないと……。

　関連:

リリースノート: 2018 年 7 月のセキュリティ更新プログラム (Microsoft, 2018.07.11)
2018年 7月マイクロソフトセキュリティ更新プログラムに関する注意喚起 (JPCERT/CC, 2018.07.11)

2018.07.13 追記:

　関連:

Windows DNSの脆弱性情報が公開されました（CVE-2018-8304） (JPRS, 2018.07.12)
マイクロソフト月例パッチ（Microsoft Patch Tuesday）- 2018 年 7 月　今月は、53 個のパッチがリリースされており、そのうち 17 件が「緊急」レベルです。 (シマンテック, 2018.07.11)

2018.07.17 追記:

　今回の更新プログラムにはいくつか不具合があったようで、対応の更新プログラムが公開されているものがあります。例:

Windows 7 SP1 / Server 2008 R2 SP1	July 10, 2018—KB4338823 (Security-only update) (Microsoft) After installing this update, some devices running network monitoring workloads may receive the 0xD1 Stop error because of a race condition. Restarting the SQL Service may fail occasionally with the error, “Tcp port is already in use”. When an administrator tries to stop the World Wide Web Publishing Service (W3SVC), the W3SVC remains in a "stopping" state, but cannot fully stop or be restarted. KB4345459 で修正されている。 July 10, 2018—KB4338818 (Monthly Rollup) (Microsoft) There is an issue with Windows and third-party software related to a missing file (oem<number>.inf). Because of this issue, after you apply this update, the network interface controller will stop working. 他、KB4338823 と同じ 3 件最初のものについては回避策を記載、他のものについてはまだ作業中、になっている。
Server 2012	July 10, 2018—KB4338820 (Security-only update) (Microsoft) After installing this update, some devices running network monitoring workloads may receive the 0xD1 Stop error because of a race condition. Restarting the SQL Service may fail occasionally with the error, “Tcp port is already in use”. When an administrator tries to stop the World Wide Web Publishing Service (W3SVC), the W3SVC remains in a "stopping" state, but cannot fully stop or be restarted. KB4345425 で修正されている。 July 10, 2018—KB4338830 (Monthly Rollup) (Microsoft)。上記と同じ不具合が列挙されているが、まだ作業中、になっている。
Windows 8.1 / Server 2012 R2	July 10, 2018—KB4338824 (Security-only update) (Microsoft) After installing this update, some devices running network monitoring workloads may receive the 0xD1 Stop error because of a race condition. Restarting the SQL Service may fail occasionally with the error, “Tcp port is already in use”. When an administrator tries to stop the World Wide Web Publishing Service (W3SVC), the W3SVC remains in a "stopping" state, but cannot fully stop or be restarted. KB4345424 で修正されている。 July 10, 2018—KB4338815 (Monthly Rollup) (Microsoft)。上記と同じ不具合が列挙されているが、まだ作業中、になっている。
Windows 10, version 1607 / Server 2016	July 10, 2018—KB4338814 (OS Build 14393.2363) (Microsoft) Addresses an issue that may cause some devices running network monitoring workloads to receive the 0xD1 Stop error because of a race condition after installing the July update. Addresses an issue with the DHCP Failover server that may cause enterprise clients to receive an invalid configuration when requesting a new IP address. This results in a loss of connectivity. Addresses an issue that may cause the restart of the SQL Server service to fail occasionally with the error, “Tcp port is already in use”. Addresses an issue that occurs when an administrator tries to stop the World Wide Web Publishing Service (W3SVC). The W3SVC remains in a "stopping" state, but cannot fully stop or it cannot be restarted. KB4345418 で修正されている。
Windows 10, version 1703	July 10, 2018—KB4338826 (OS Build 15063.1206) (Microsoft) After installing this update, some devices running network monitoring workloads may receive the 0xD1 Stop error because of a race condition. Restarting the SQL Server service may fail occasionally with the error, “Tcp port is already in use”. When an administrator tries to stop the World Wide Web Publishing Service (W3SVC), the W3SVC remains in a "stopping" state, but cannot fully stop or be restarted. KB4345419 で修正されている。
Windows 10, version 1709	July 10, 2018—KB4338825 (OS Build 16299.547) (Microsoft) Some non-English platforms may display the following string in English instead of the localized language: ”Reading scheduled jobs from file is not supported in this language mode.” This error appears when you try to read the scheduled jobs you've created and Device Guard is enabled. When Device Guard is enabled, some non-English platforms may display the following strings in English instead of the localized language: "Cannot use '&' or '.' operators to invoke a module scope command across language boundaries." "'Script' resource from 'PSDesiredStateConfiguration' module is not supported when Device Guard is enabled. Please use 'Script' resource published by PSDscResources module from PowerShell Gallery." After installing this update on a DHCP Failover Server, Enterprise clients may receive an invalid configuration when requesting a new IP address. This may result in loss of connectivity as systems fail to renew their leases. After installing this update, some devices running network monitoring workloads may receive the 0xD1 Stop error because of a race condition Restarting the SQL Server service may fail occasionally with the error, “Tcp port is already in use”. When an administrator tries to stop the World Wide Web Publishing Service (W3SVC), the W3SVC remains in a "stopping" state, but cannot fully stop or be restarted. 前 2 者については作業中、後 4 者については KB4345420 で修正されている。
Windows 10, version 1803	July 10, 2018—KB4338819 (OS Build 17134.165) (Microsoft) After installing this update on a DHCP Failover Server, Enterprise clients may receive an invalid configuration when requesting a new IP address. This may result in loss of connectivity as systems fail to renew their leases. After installing this update, some devices running network monitoring workloads may receive the 0xD1 Stop error because of a race condition. Restarting the SQL Server service may fail occasionally with the error, “Tcp port is already in use”. When an administrator tries to stop the World Wide Web Publishing Service (W3SVC), the W3SVC remains in a "stopping" state, but cannot fully stop or be restarted. KB4345421 で修正されている。

2018.07.18 追記:

　上記、Windows 10, version 1607 / 1703 / 1709 について追加した。

　また、Windows Server 2012、Windows 8.1 / Server 2012 R2 用の .NET Framework 更新プログラムについても不具合があるそうで:

Security and Quality Rollup updates for .NET Framework 3.5 SP1, 4.5.2, 4.6, 4.6.1, 4.6.2, 4.7, 4.7.1 and 4.7.2 for Windows Server 2012 (KB 4340557) (Microsoft)

Users receive a "0x80092004" error when they try to install the July 2018 Security and Quality Rollup update KB4340557 or KB4340558 on Windows 8.1, Windows Server 2012 R2, or Windows Server 2012 after they install the June 2018 .NET Framework Preview of Quality Rollup updates KB4291497 or KB4291495 on systems that are running on .NET Framework 4.7.2, 4.7.1, 4.7, 4.62, 4.6.1, or 4.6.
Security and Quality Rollup updates for .NET Framework 3.5 SP1, 4.5.2, 4.6, 4.6.1, 4.6.2, 4.7, 4.7.1 and 4.7.2 for Windows 8.1, RT 8.1, and Server 2012 R2 (KB 4340558) (Microsoft)

Users receive a "0x80092004" error when they try to install the July 2018 Security and Quality Rollup update KB4340557 or KB4340558 on Windows 8.1, Windows Server 2012 R2, or Windows Server 2012 after they install the June 2018 .NET Framework Preview of Quality Rollup updates KB4291497 or KB4291495 on systems that are running on .NET Framework 4.7.2, 4.7.1, 4.7, 4.62, 4.6.1, or 4.6.

　2018.07.17 付で新しい .NET Framework patch (KB4340557, KB4340558) が流れてきているので、上記が修正されているのかな?

2018.07.20 追記:

　更新プログラムの不具合の件、MS 公式ブログで解説されてました:

7 月の更新プログラムを適用すると Stop エラーなどの問題が発生する (Ask the Network & AD Support Team, 2018.07.19)

[ 原因 ]
OS の tcpip.sys ドライバーの問題により、NSI (Network Store Interface) サービスに対して TCP コネクションテーブル等のネットワークに関する情報の要求があった場合に、タイミングによって問題が発生する可能性があります。
このような NSI に対する要求は OS の通常動作時にも発生し得ます。
また、Microsoft Network Monitor や Wireshark などの Network Monitoring ソフトが動作している環境では、特に頻繁に発生するため、問題の発生確率が上がります。

更新プログラムが公開されているので適用すればよい。マンスリーロールアップの場合についても記載されている。

2018.07.24 追記:

　.NET Framework の更新プログラム、不具合のために公開が停止されたそうです。

「.NET Framework」の月例セキュリティ更新プログラムに不具合、配信が一時中断 (窓の杜, 2018.07.23)
Advisory on July 2018 .NET Framework Updates (.NET Blog, 2018.07.20)

■ 2018.07.11

》 Firefoxアカウントで保存したパスワードをiPhoneで安全・快適に同期できるアプリ「Firefox Lockbox」 (gigazine, 7/11)
》 BIND 9.xのゾーン転送における巨大なゾーンデータの取り扱いの不具合について (JPRS, 7/10)。「巨大」が何を意味するのか不明確なのだが、「BIND 9.xのほとんどのユーザーは本件の影響を受けない」ような「巨大」であるようだ。
》 Windows Server 2016 の SRV レコードが重複する事象について (Ask the Network & AD Support Team, 7/11)

予め Windows Server 2016 のホスト名を全て小文字とした状態でドメインコントローラーに昇格することで本事象は発生しませんが、既に本事象が発生している環境においては以下の手順でホスト名を小文字に変更して再昇格を実施ください。

　関連: Windows Server 2016 Reverse DNS Registration Behavior (Ask Premier Field Engineering (PFE) Platforms, 6/18)

■ Adobe 方面 (Acrobat, Connect, Experience Manager, Flash Player)
(Adobe, 2018.07.10)

　Adobe 方面出てました。Priority は 2 (Linux 用 Flash Player だけ 3)。

Security Bulletin for Adobe Acrobat and Reader | APSB18-21 (Adobe, 2018.07.10)。セキュリティ修正多数、CVE 番号がずらずらっと並んでいるぞ。

種別	更新版
Acrobat DC / Acrobat Reader DC (Continuous Track)	2018.011.20055
Acrobat 2017 / Acrobat Reader DC 2017 (Classic 2017)	2017.011.30096
Acrobat DC / Acrobat Reader DC (Classic 2015)	2015.006.30434

Security updates available for Adobe Connect | APSB18-22 (Adobe, 2018.07.10)。3 件のセキュリティ欠陥を修正。
Security updates available for Adobe Experience Manager | APSB18-23 (Adobe, 2018.07.10)。3 件のセキュリティ欠陥を修正。
Security updates available for Flash Player | APSB18-24 (Adobe, 2018.07.10)。Flash Player 30.0.0.134 公開。2 件のセキュリティ欠陥を修正。

　関連:

Adobe Reader および Acrobat の脆弱性 (APSB18-21) に関する注意喚起 (JPCERT/CC, 2018.07.11)
Adobe Flash Player の脆弱性 (APSB18-24) に関する注意喚起 (JPCERT/CC, 2018.07.11)

■ Apple 方面 (iOS, tvOS, watchOS, macOS, Safari, iCloud for Windows, iTunes for Windows 更新)
(apple, 2018.07.09)

　Apple 方面出てました。

About the security content of iOS 11.4.1 (Apple, 2018.07.09)
About the security content of tvOS 11.4.1 (Apple, 2018.07.09)
About the security content of watchOS 4.3.2 (Apple, 2018.07.09)
About the security content of macOS High Sierra 10.13.6, Security Update 2018-004 Sierra, Security Update 2018-004 El Capitan (Apple, 2018.07.09)
About the security content of Safari 11.1.2 (Apple, 2018.07.09)
About the security content of iCloud for Windows 7.6 (Apple, 2018.07.09)
About the security content of iTunes 12.8 for Windows (Apple, 2018.07.09)

　関連:

■ ClamAV 0.100.1 has been released!
(ClamAV, 2018.07.09)

　ClamAV 0.100.1 公開。セキュリティ修正 3 件を含みます。

■ 2018.07.09

》 Yahoo!地図に東海～九州北部エリアの「インターナビ通行実績情報マップ」を公開 (Honda, 7/9)

　関連: NEXCO西日本、高速道路を無料開放　集中豪雨による通行止め迂回路として一部区間で実施 (ねとらぼ, 7/9)
》「平成30年7月豪雨」と命名 (tenki.jp, 7/9)。関連:
- 平成３０年７月豪雨について (首相官邸)。非常災害対策本部を 7/8 08:00 になってようやく設置。ただし、平成３０年７月豪雨非常災害対策本部会議（第１回）で安倍総理が冒頭挨拶しているので誤解しやすいが、本部長は小此木八郎防災担当相である。本事象の甚大さ・広さを考えたら、緊急災害対策本部 (本部長: 内閣総理大臣) に格上げすべきだと思うがなあ。
- 首相　欧州歴訪を中止　豪雨被災地の視察検討 (毎日, 7/9 15:49)。ようやくですか。
- 平成３０年台風第７号及び前線等による被害状況等について (国土交通省)
- 荻上チキさんのツイート:
  
  広島県警による広報ビラ。災害のたびに流言デマが流れますが、代表的なものに「犯罪流言」があります。「他県ナンバー」「外国人窃盗団」といったものがテンプレです。一般的な注意喚起は必要ですが、ツイートすることにより不要な問い合わせや通報を増やしたり、差別や恐怖を煽ることにもなります。 pic.twitter.com/iin9FXsDqD
  — 荻上チキ (@torakare) 2018年7月9日
》欧州議会、「リンク税」導入など含むEU著作権指令の改正案を否決 (CNET, 7/6)、欧州ネット民が大反発の「リンク税」導入案否決で、安堵の声 (Forbes, 7/6)
》最大2000万ユーロ（約26億円）　セキュリティ対策を怠ると罰金──実はGDPR級に重要なEUの「NIS指令」 (TechTarget, 7/6)
》ファーストサーバのホスティングサービス Zenlogic、不具合継続中 (6/19〜)。 7/6 20:00〜に全面停止を伴うメンテナンスを実施したが、いまだ解決せず。紅のTaka さん情報ありがとうございます。
- Zenlogicホスティングが断続的にご利用しづらい状況について (ファーストサーバ, 7/9)。この文章だと、全面停止を伴うメンテナンスは 7/9 08:00 に終了したことになっているのだが。
- 障害・メンテナンス情報 (Zenlogic)。実際には、まだ止まっているっぽい。
- ファーストサーバの「Zenlogic」全面停止3日間続く　再開は「未定」に (ITmedia, 7/9)
- 障害発生中のZenlogicが金曜の夜に全サービスの60時間メンテナンスを通達して7分後に全停止！サーバ管理者の阿鼻叫喚の様子 (togetter, 7/7)
- ファーストサーバのレンタルサーバ「Zenlogic」、金曜夜からの全面サービス停止が解けず、いまだ停止中。ストレージ障害のためのメンテナンスで (Publickey, 7/9)
  
  ファーストサーバは自社でインフラを持たず、ZenlogicはYahoo! JapanもしくはAWSのいずれかのインフラの上にファーストサーバがサービスを構築するアーキテクチャを採用しています。(中略) 今回障害が発生しているのはYahoo! Japanのインフラ上に構築されているZenlogicと見られます。そのため、原因究明と対策も同社と連係して行っていることをファーストサーバは明らかにしています。
- Zenlogic システム障害・メンテナンスで接続できたサイト・できなかったサイト (pmakino.jp, 7/8)
  
  同じ YAHOO-JP2-CIDR-BLK-JP の IP でも 210.〜のものは問題なく 154.34.〜のものが NG らしい。(ただしニフレルに限っては 210.〜だが NG)
- ファーストサーバの「Zenlogicホスティング」で大規模障害が発生中 (クラウド Watch, 7/9)
- 影響サイト事例
  
  なお、ウェブサーバーもZenlogicの障害のためアクセスしていただくことができません。御迷惑をおかけします。
  — 一般財団法人ソフトウェア情報センター (SOFTIC) (@SOFTIC_JP) 2018年7月9日
  
  当社サーバー管理会社で不具合が発生している件について、7月9日AM8時復旧見込みでしたが、未だメンテナンスの状況が続いております。ご迷惑をおかけしております。
  当社としては、まず製品ドライバダウンロードページを復旧すべく、現在仮設ページを構築中です。もう少々お待ちください。
  — エレコム(公式) (@elecom_pr) 2018年7月9日
  
  【平成30年7月9日11：10現在】現在、サーバー障害により、弊社Webサイト及び弊社のお問い合わせメールが利用できない状態となっております。ご利用のお客様には長期間にわたり大変ご迷惑をおかけしておりますことを、深くお詫び申し上げます。
  — Caty (@Caty_YCAT) 2018年7月9日
  
  【お知らせ】現在、レンタルサーバー障害により、当社のホームページの閲覧およびメールの送受信ができない状況が続いております。サーバーを提供しているファーストサーバー㈱にてメンテナンス作業を実施しておりますが、終了時間は未定とのことでございます。
  — 長野電鉄運行情報【公式】 (@u_nagaden) 2018年7月8日
  
  【お知らせ】
  本日7月9日(月)は通常通り10時より営業いたします。
  
  なお、契約サーバーの障害により、ホームページが閲覧できない状態です。申し訳ございません。
  
  お問い合わせは、お手数ですがお電話にてお願いいたします。
  
  ニフレルインフォメーション
  0570-022060(ナビダイヤル)
  — NIFREL（ニフレル）公式 (@NIFREL_official) 2018年7月9日
》 Upcoming Security Updates for Adobe Acrobat and Reader (APSB18-21) (Adobe, 7/5)。明後日 (日本時間) です。
》スカジョがトランスジェンダー役に→トランス女優らから批判→トランス女優に死の脅迫 (石壁に百合の花咲く, 7/7)

サンダース監督は『ゴースト・イン・ザ・シェル』（2017年）で原作ではアジア人女性という設定だった主役をスカーレット・ジョハンソンにやらせ、ホワイトウォッシングだとして批判を受けていた人。つまり、同じ組み合わせのペアが、またしてもマイノリティの役をマジョリティの役者が持っていくというかたちで映画を撮るということになります。
》最終意見陳述の全文 (植村裁判を支える市民の会, 7/6)
》 Sysmon v8.0, Autoruns v13.90 (Sysinternals Site Discussion, 7/5)

■ いろいろ (2018.07.09)
(various)

Aterm HC100RC, W1200EX / W1200EX-MS, W300P, W500P, WF300HP2, WF800HP, WG1200HP, WG1200HP2, WG1200HS, WG1200HS2, WG1900HP, WR8165N

Aterm製品における不正アクセスに対するセキュリティ向上について (aterm, 2018.06.28)。「悪意ある第三者からのAtermに対する不正アクセスがあった場合に、本製品の設定変更、再起動、意図しない動作が発生する可能性」があるそうで。詳細はさっぱりわからない。対応ファームウェアのリリース日は以下のとおり:
```
HC100RC:              2018/06/28
W1200EX / W1200EX-MS: 2017/11/10
W300P:                2017/11/30
W500P:                2017/11/30
WF300HP2:             2017/11/30
WF800HP:              2018/06/28
WG1200HP:             2017/11/30
WG1200HP2:            2018/06/28
WG1200HS:             2017/09/28
WG1200HS2:            2018/06/28
WG1900HP:             2018/04/02
WR8165N:              2017/11/30
```
2018.07.13 追記:

WG1200HP, W300P, HC100RC についてより詳細な情報が開示された模様:
- JVN#00401783 - Aterm WG1200HP における複数の OS コマンドインジェクションの脆弱性 (JVN, 2018.07.12)
- JVN#84825660 - Aterm HC100RC における複数の脆弱性 (JVN, 2018.07.12)
- JVN#26629618 - Aterm W300P における複数の脆弱性 (JVN, 2018.07.12)
- Atermシリーズに複数の脆弱性 (NEC, 2018.07.12)
他の奴も似たりよったりということなんですかねえ。

Knot Resolver

Knot Resolverの脆弱性情報が公開されました (JPRS, 2018.07.05)。Knot Resolver 2.4.0 で修正されているようです。

LTE

LTE通信で中間者攻撃を実現する「aLTEr」～商用LTEでDNSスプーフィングを実現 (PC Watch, 2018.07.02)

■ WordPress 4.9.7 セキュリティ・メンテナンスリリース
(Wordpress, 2018.07.08)

　セキュリティ修正は次の件のようです。

バージョン 4.9.6 以前の WordPress は、特定の権限を持つユーザーが uploads ディレクトリ外のファイルを削除できてしまう可能性のあるメディアの問題の影響を受けます。

　これに加えて 17 件の不具合修正が含まれるそうです。

■ 2018.07.05

》あす、札幌訴訟結審 (植村裁判を支える市民の会, 7/5)
》産経調停は不成立に (植村裁判を支える市民の会, 7/3)、植村氏と産経、調停不成立 (朝日, 7/3)
》 Wikipediaのスペイン語イタリア語ポーランド語ページがEU議会の著作権改定に抗議して黒塗りに (techcrunch, 7/5)。関連:
- Wikipedia イタリア語版よりブラックアウトのお知らせ (P2P とかその辺のお話 R, 7/5)
- Wikipediaはなぜリンク税と著作権フィルタに反対しているのか (P2P とかその辺のお話 R, 7/5)
  
  欧州連合で新たに提案されている著作権パッケージは、自由な情報共有という基本的権利に対する脅威である。今こそ、声を上げよう。
- EU立法委員会が「インターネット破壊」指令案を可決、今こそ声を上げよう (P2P とかその辺のお話 R, 6/25)
- 欧州の検閲マシンは「インターネットを殺す」のか？ (P2P とかその辺のお話 R, 6/25)
》 Windows 10 Version 1709 以降で有線 LAN 接続時にモバイルブロードバンドからインターネット接続できない (Ask the Network & AD Support Team, 7/5)。回避するにはレジストリ設定が必要なのだそうです (Windows 10 version 1709 では KB4284822 (OS ビルド 16299.522) 以降の適用も必要)。
》「GoogleがGmailの内容を外部企業に読ませている」という記事について (@stomita daily (or monthly, yearly), 7/4)
》キリンビバレッジバリューベンダーと警視庁西新井警察署が「防犯活動に関する覚書」を締結～独自開発の小型カメラを内蔵した「みまもり自動販売機」を2018年夏より設置～ (KIRIN, 7/3)。監視カメラつき自販機だってさ。これだから三菱は。

なお、カメラ内の記録媒体は西新井警察署の所有となるため、記録した映像はキリンビバレッジバリューベンダーでは閲覧できない仕組み※2となっています。

　自分では責任取りませんと。気色悪いなあ。
》英南部で新たに男女が「ノビチョク」浴び危篤　英警察 (BBC, 7/5)、英意識不明の男女２人から神経剤ノビチョクを検出 (NHK, 7/5)。またですか。
》こんな4WDを誰もが待っていた！！──20年ぶりに生まれ変わった新型ジムニー、本日発売！ (GQ JAPAN, 7/5)。ジムニーといえば宇宙刑事。新作出たりしないのかな。
》芥川賞候補作「美しい顔」、ノンフィクションとの類似表現が独自検証で10か所超　それでも"著作権侵害"を問うのが難しい理由 (Abema TIMES, 7/3)
》 YouTubeに苦難の6月、クリエイターや広告主から「聞いてない!」の声 (マイナビニュース, 7/4)。「これらの問題に共通するYouTubeの課題とは「透明性」である」
》大阪市　水道記念館で飼育のイタセンパラ"全滅" (毎日, 7/5)。「橋下徹前市長時代の予算削減に伴って繁殖事業が中止され、「全滅」は時間の問題だった」。
》「日本の秘められた恥」　伊藤詩織氏のドキュメンタリーをBBCが放送 (BBC, 6/29)
》鹿児島・警官取り押さえ男性死亡　警察官による制圧死　撮影したＴＢＳ、映像を放送せず (毎日, 7/5)。当該事象は TBS「密着警察24時」撮影時に発生し、一部始終が撮影されたにもかかわらず、放送せず。あの手の奴って、本当に警察ヨイショ番組なんだなあ。

　関連: 「TBSは死んだ」再び。映像の押収を公表せず (水島宏明, 7/5)
》中国が裏で画策か？狙われる台湾半導体企業 (ウォール・ストリート・ジャーナル日本版, 7/3)
》元日経社員を告訴　社内情報漏洩の疑い (日経, 7/3)。「元」なのは、懲戒解雇済のため。複数の漏洩行為を行っていたとされている。日経からの「おわび」文も添付されている。

　関連: 読者の皆さまにおわびします (日経, 7/4)。上記記事の「おわび」文が独立された記事なのだが、なぜか有料会員限定記事になっている。全文読みたい方は、上記記事をどうぞ。

■ 人気のFirefox拡張機能「Stylish」がポリシー違反でブロック、すべての閲覧履歴を収集か
(窓の杜, 2018.07.04)

　Firefox 用のユーザースタイルシート管理用アドオン Stylish に欠陥。プライバシーポリシーでは非個人的なデータのみを収集することになっているが、実際には、全ての閲覧履歴を収集していた模様。

パスワードのリセットなどで用いられる認証トークンを含んだURLや、コンテンツの共有に使われるワンタイムURLも含まれるため、個人の特定はおろか、機密情報の入手も不可能ではない。

　Firefox 用 Stylish は 2018.07.03 付でブロックされた。

　Chrome 用 Stylish にも同様の問題があるかどうかは不明。

　関連: "Stylish" browser extension steals all your internet history (Robert Heaton, 2018.07.02)

■ 2018.07.04

》「正規」を隠れ蓑にする攻撃者－2017年一年間の国内での標的型サイバー攻撃を分析 (トレンドマイクロセキュリティ blog, 6/25)
》バンキングトロジャンによる国内クレジットカード情報の詐取被害を確認 (トレンドマイクロセキュリティ blog, 7/3)
》 LinuxとWindowsを狙うマルウエアWellMess (JPCERT/CC, 6/28)。「WellMessは、Golangで作成され、クロスコンパイルによってLinuxとWindowsに対応したマルウエアです」
》サーバ用オープンソースソフトウェアに関する製品情報およびセキュリティ情報 (IPA, 6/29)
》「SSL/TLS暗号設定ガイドライン改訂及び鍵管理ガイドライン作成のための調査・検討」報告書の公開 (IPA, 6/28)
》 Gentoo，GitHubリポジトリを不正ハックされる (Linux Daily Topics, 6/29)

Gentoo側は「GitHub Gentooは単なるミラーであり，マスターのリポジトリは我々自身が所有するインフラ上でホストされている。したがって開発にはなんの影響もない」と強調
》正しいURLなのに偽のサイトへアクセスしてしまう事案が発生 (gigazine, 7/4)。「正しいURLを入力しても偽のサイトへアクセスしてしまったことからDNSキャッシュポイズニングやBGPハイジャックなどの方法が考えられるとのことです」
》 Windows プロファイルまわり
- Windows 10 version 1703 以降で固定ユーザープロファイルを利用するとスタートメニューが動作しない (Ask the Network & AD Support Team, 6/27)
  
  [回避策]
  "固定プロファイル" のチェックボックスをチェックしない状態で手順を進めれば、従来通りの構成内容で固定ユーザープロファイルを作成できますので、不具合が修正されるまではチェックボックスをチェックしない状態で固定ユーザープロファイルを作成してください。
  
  なんだそれ……。罠としか言いようがないな。
- Windows 10 RS4 (1803) における移動ユーザープロファイルとフォルダーリダイレクトの問題について (Ask the Network & AD Support Team, 7/3)。移動ユーザープロファイルの件は「2018 年 7 月 25 日にリリースされる累積更新プログラムに本問題の対策が含まれる予定」だそうで。回避策もあり。
》「息子が敗血症で生死の境に」と連絡した母親に「出勤できなければクビ」と返信したコンビニ店長が大炎上、自らが職を失う (Buzzap!, 7/4)。アメリカこぼれ話。
》日本通運水にぬれた備蓄米新しい袋に詰め替え一部出荷 (NHK, 7/4)。また偽装ですか。
》お茶の水女子大、トランスジェンダーの学生を受け入れへ。2020年度から (ハフポスト, 7/2)。お茶の水女子大が 7/2 に発表。「9日に記者会見を開き、詳細を説明する」。関連:
- お茶の水女子大。本件への言及なし。
- お茶の水女子大、トランスジェンダーの学生受け入れへ (TBS, 7/3)
- 林芳正文部科学大臣記者会見録（平成30年7月3日） (文科省, 7/3)。本件への言及があるようです (テキスト版がまだ出てない)
- トランスジェンダーの学生入学　奈良女子大も検討 (東京, 7/4)、奈良女子大もトランスジェンダーの学生受け入れ検討 (NHK, 7/3)
》「保守速報」裁判の高裁判決と、ヘイトスピーチ対策のこれから (荻上式BLOG, 7/4)。関連:
- 「保守速報」への広告取りやめ相次ぐ国内最大級のアフィリエイトも提携解除 (籏智広太 / BuzzFeed, 6/19)
- 「嫌韓サイト」はなぜ黙認されていたのか？「保守速報」から広告会社が自主的に撤退 (籏智広太 / BuzzFeed, 6/23)
- 保守速報、高裁でも敗訴。在日女性への差別を認定した判決内容とは (籏智広太 / BuzzFeed, 6/28)。「損害賠償200万円」
- 保守速報「このままだと存続危うい」　広告消滅で現役市議から“救済処置”提案　グッズ販売へ？ (ねとらぼ, 7/2)
- なぜ彼女は「保守速報」を訴えたのか。ある在日女性の思い (籏智広太 / BuzzFeed, 7/4)。李信恵さん。
》アダルトサイトで架空請求の疑い　計９億２千万円詐取か (朝日, 7/4)、詐欺容疑　不正アダルトサイト運営１１人逮捕　被害９億円 (毎日, 7/4)
》首都圏の全車両に防犯カメラ　ＪＲ東日本、２０年までに (朝日, 7/4)。「主にドア付近の車内灯をカメラ付きのＬＥＤ蛍光灯に付け替える。在来線の全８３００両と、防犯カメラのない新幹線車両２００両が対象」

　関連: 製品情報 - WiFiカメラ内蔵LED照明システム (TMリンク)
》 Google、「サードパーティ開発者がGmailの内容を読んでいる」報道について説明 (ITmedia, 7/4)。この件:
- グーグル、外部企業に「Gmailの内容を読ませている」事が発覚 (Forbes, 7/3)
- 「Gmail」の内容が外部開発企業に読まれているとの報道--グーグルは協業の方法を釈明 (CNET, 7/4)
》中国で射程距離800mのレーザー光線銃が開発。可視外光で皮膚が炭化する威力 (PC Watch, 7/3)。非殺傷兵器、ではあるのか?
》 Facebook、ブロック対象のユーザーが非ブロック扱いになっていたバグを修正。80万人が影響 (PC Watch, 7/3)
》パナソニック、夜間でも250m先の物体を検知できるTOFセンサーを開発～1光子を1万倍以上に増倍するアバランシェ・フォト・ダイオード画素を導入 (PC Watch, 7/3)

■ VMSA-2018-0016 - VMware ESXi, Workstation, and Fusion updates address multiple out-of-bounds read vulnerabilities
(2018.06.28)

　VMware ESXi 6.7、Workstation 14.x、Fusion 10.x の shader translator に複数の欠陥、情報漏洩や、一般ユーザー権限での VM の crash を招く。 CVE-2018-6965 CVE-2018-6966 CVE-2018-6967。 ESXi 5.5 / 6.0 / 6.5 にはこの欠陥はない。

　ESXi 6.7 用の patch ESXi670-201806401-BG、および Workstation 14.1.2、Fusion 10.1.2 で修正されている。

■ 追記

Security updates available for Adobe Acrobat and Reader | APSB18-09 (2018.05.15): 　Taking apart a double zero-day sample discovered in joint hunt with ESET (Microsoft Secure, 2018.07.02)
Drupal core - Highly critical - Remote Code Execution - SA-CORE-2018-004 (2018.04.26): 　「Drupal」の脆弱性「CVE-2018-7602」を利用した攻撃を確認、仮想通貨「Monero」発掘ツールを拡散 (トレンドマイクロセキュリティ blog, 2018.06.28)

■ Firefox 61.0 / ESR 60.1.0 / ESR 52.9.0 公開
(Mozilla, 2018.06.26)

　そういえば出てましたね。iida さん情報ありがとうございます。 ESR 52 系列はいよいよ終了です。

リリースノート: Firefox 61.0、 ESR 60.1.0、 ESR 52.9.0、 Android 版 Firefox 61.0。
セキュリティアドバイザリ: Firefox、 Firefox ESR。
- MFSA 2018-15 - Security vulnerabilities fixed in Firefox 61 (Mozilla)
- MFSA 2018-16 - Security vulnerabilities fixed in Firefox ESR 60.1 (Mozilla)
- MFSA 2018-17 - Security vulnerabilities fixed in Firefox ESR 52.9 (Mozilla)
ダウンロード: Firefox、 Android 版 Firefox、 Firefox ESR。

　Thunderbird 52.9.0 も 2018.07.03 付で出てました。

Thunderbird Release Notes - Version 52.9.0 (Thunderbird)
MFSA 2018-18 - Security vulnerabilities fixed in Thunderbird 52.9 (Mozilla)
ダウンロード

■ 2018.07.02

》＜大阪地震＞災害時の差別デマを許してはならない理由　防災の重要な一部として議論を（加藤直樹） (加藤直樹 / アジアプレス・ネットワーク, 6/25)

[私について]

セキュリティホール memo - 2018.07

■ Chrome Stable Channel Update for Desktop (Google, 2018.07.24)

■ Bluetooth SIG Security Update (Bluetooth SIG, 2018.07.23)

2018.07.27 追記:

■ いろいろ (2018.07.24) (various)

Mailman

日医標準レセプトソフト

DLL 読み込みに関する脆弱性

Apache Tomcat Native Connector

Moodle

■ Windows 10 で導入されたファイル形式 .SettingContent-ms がマルウェアに悪用されているのだそうで (various)

■ Apache Tomcat における複数の脆弱性に関する注意喚起 (JPCERT/CC, 2018.07.23)

■ いろいろ (2018.07.20) (various)

PHP

Apache httpd

Wireshark

■ ソーシャルウェブサービスにおける新たなプライバシー脅威「Silhouette」を発見 ～Twitter、Microsoft、Mozillaらに働きかけ、世界の主要サービス・ブラウザのセキュリティ機構を改善～ (NTT, 2018.07.18)

■ 2018年 7月 Oracle 製品のクリティカルパッチアップデートに関する注意喚起 (JPCERT/CC, 2018.07.18)

■ 新たなサイドチャンネル攻撃 TLBleed 登場 (various)

■ いろいろ (2018.07.13) (various)

VMware Tools

cURL

Kea DHCP server

Explzh

■ 注意! 2019年2月から主要DNSサーバソフトウェアの挙動が変わります (JPNIC, 2018.07.10)

■ 2018 年 7 月のセキュリティ更新プログラム (月例) (Microsoft, 2018.07.11)

2018.07.13 追記:

2018.07.17 追記:

2018.07.18 追記:

2018.07.20 追記:

2018.07.24 追記:

■ Adobe 方面 (Acrobat, Connect, Experience Manager, Flash Player) (Adobe, 2018.07.10)

■ Apple 方面 (iOS, tvOS, watchOS, macOS, Safari, iCloud for Windows, iTunes for Windows 更新) (apple, 2018.07.09)

■ ClamAV 0.100.1 has been released! (ClamAV, 2018.07.09)

■ いろいろ (2018.07.09) (various)

Aterm HC100RC, W1200EX / W1200EX-MS, W300P, W500P, WF300HP2, WF800HP, WG1200HP, WG1200HP2, WG1200HS, WG1200HS2, WG1900HP, WR8165N

Knot Resolver

LTE

■ WordPress 4.9.7 セキュリティ・メンテナンスリリース (Wordpress, 2018.07.08)

■ 人気のFirefox拡張機能「Stylish」がポリシー違反でブロック、すべての閲覧履歴を収集か (窓の杜, 2018.07.04)

■ VMSA-2018-0016 - VMware ESXi, Workstation, and Fusion updates address multiple out-of-bounds read vulnerabilities (2018.06.28)

■ Firefox 61.0 / ESR 60.1.0 / ESR 52.9.0 公開 (Mozilla, 2018.06.26)

■ Chrome Stable Channel Update for Desktop
(Google, 2018.07.24)

■ Bluetooth SIG Security Update
(Bluetooth SIG, 2018.07.23)

■ いろいろ (2018.07.24)
(various)

■ Windows 10 で導入されたファイル形式 .SettingContent-ms がマルウェアに悪用されているのだそうで
(various)

■ Apache Tomcat における複数の脆弱性に関する注意喚起
(JPCERT/CC, 2018.07.23)

■ いろいろ (2018.07.20)
(various)

■ ソーシャルウェブサービスにおける新たなプライバシー脅威「Silhouette」を発見～Twitter、Microsoft、Mozillaらに働きかけ、世界の主要サービス・ブラウザのセキュリティ機構を改善～
(NTT, 2018.07.18)

■ 2018年 7月 Oracle 製品のクリティカルパッチアップデートに関する注意喚起
(JPCERT/CC, 2018.07.18)

■ 新たなサイドチャンネル攻撃 TLBleed 登場
(various)

■ いろいろ (2018.07.13)
(various)

■ 注意! 2019年2月から主要DNSサーバソフトウェアの挙動が変わります
(JPNIC, 2018.07.10)

■ 2018 年 7 月のセキュリティ更新プログラム (月例)
(Microsoft, 2018.07.11)

■ Adobe 方面 (Acrobat, Connect, Experience Manager, Flash Player)
(Adobe, 2018.07.10)

■ Apple 方面 (iOS, tvOS, watchOS, macOS, Safari, iCloud for Windows, iTunes for Windows 更新)
(apple, 2018.07.09)

■ ClamAV 0.100.1 has been released!
(ClamAV, 2018.07.09)

■ いろいろ (2018.07.09)
(various)

■ WordPress 4.9.7 セキュリティ・メンテナンスリリース
(Wordpress, 2018.07.08)

■ 人気のFirefox拡張機能「Stylish」がポリシー違反でブロック、すべての閲覧履歴を収集か
(窓の杜, 2018.07.04)

■ VMSA-2018-0016 - VMware ESXi, Workstation, and Fusion updates address multiple out-of-bounds read vulnerabilities
(2018.06.28)

■ Firefox 61.0 / ESR 60.1.0 / ESR 52.9.0 公開
(Mozilla, 2018.06.26)