Last modified: Tue Jul 19 15:40:57 2022 +0900 (JST)
このページの情報を利用される前に、注意書きをお読みください。
》 英情報保護監督機関、顔認識DB企業Clearview AIに755万ポンドの罰金と英国居住者データの削除を命令 (@IT, 5/30)
ICOの強制措置は、オーストラリアの監督機関であるオーストラリア情報コミッショナー事務局(OAIC)との共同調査後に行われた。この共同調査は、Clearview AIによる人々の画像の使用、インターネットからのデータスクレイピング、顔認証のための生体データの使用に焦点を当てたものだった。
Clearview AIは、世界中のインターネットやソーシャルメディアプラットフォームで公開されている情報から200億枚以上の人々の顔画像とデータを収集し、オンラインデータベースを作成した。人々は、自分の画像が収集され、このように使われることを知らされていなかった。
》 防衛研究所が「東アジア戦略概観」 今年は別冊でウクライナ侵攻も分析 (TBS, 5/31)。「ウクライナ戦争の衝撃」 は防衛研究所のサイト で PDF 版を閲覧できるようです (負荷がかかっているためか手元からは閲覧できないけど)。
「ゆっくり茶番劇」事件の炎上要素抜き解説 (栗原潔 / Yahoo, 5/16)
最近の特許庁の運用では、ネットミーム的な言葉(たとえば、「大迫半端ないって」)は、商標法3条1項6号(識別力がない商標)として拒絶される運用になっていますので、今回のケースもこれで拒絶されてもおかしくなかったと思います。また、4条1項10号(他人の周知商標と類似・同一)、4条1項15号(他人の商品と混同)、4条1項19号(他人の周知商標と類似・同一の商標の不正目的出願)に該当する可能性もあります。しかし、審査官は拒絶理由通知(暫定拒絶)すらなく、一発登録査定にしてしまっています。
「ゆっくり茶番劇」事件は商標権放棄で一件落着しそうなわけだが (栗原潔 / Yahoo, 5/22)
「ゆっくり茶番劇」商標登録の柚葉氏、抹消申請を報告「本来の目的を全うすることが困難となった為」 (ORICON NEWS / Yahoo, 5/24)。5/23 付で申請。
「ゆっくり茶番劇」騒動の再発を防ぐためには(1) (栗原潔 / Yahoo, 5/29)
》 世界最大級の匿名掲示板「4chan」の影にいる日本企業とは? (gigazine, 5/30)
さらに、リン氏はグッドスマイルカンパニーの内部文書を独自に入手しており、2015年4月に結ばれた秘密保持契約書の存在を指摘しています。この秘密保持契約書が記されたのは、プール氏が4chanを離れると発表した数カ月後であり、ひろゆき氏が同掲示板を買収する5カ月前のこと。この秘密保持契約は、ドワンゴ・未来検索ブラジル・ひろゆき氏が「4chanに関するM&Aの検討」に関する秘密を守るために結ばれたもので、取引の責任者にはグッドスマイルカンパニーの安藝貴範CEOの名前が記載されています。
》 Pixiv従業員セクハラ裁判事件 (ピクシブ百科辞典)
これを受けて運営は2022/5/30 16:45頃に弊社におけるハラスメントに関する報道についてのお詫びとお知らせというツイートをしているが、よく読むと2019年のことには触れつつ、2020年からの不祥事には何一つ触れていないという、謝罪文の体でごまかしていることがわかる。
こういうのが一番がっくりくる。関連:
「男だから平気だと思った」セクハラ受けたトランス女性、会社と上司を提訴 (弁護士ドットコム, 5/27)。「同社執行役員の男性上司」
セクハラに耐えかねた原告は2019年3月、会社のセクハラ窓口となっている弁護士にセクハラ被害を相談。会社は、原告からの相談・申告を受け、(1)2人の執務フロアを分離する、(2)男性上司を飲み会へ一切参加させない、(3)同じ事業部に配属しない、という措置を原告に約束。同年4月には、男性上司は懲戒処分として、執行役員を解任された。
しかし、2020年4月からの1年間は同じ事業部に配属される状態になるなど約束した措置についても徹底されなかったという。
「神絵師のイラスト消えてて絶望」 セクハラ騒動で揺れるpixivユーザー アカウント削除で抗議の意思示すクリエイターも (ITmedia, 5/30)
》 くまのプーさんは何がパブリックドメインになったのか (舞浜横丁, 5/27)、 邪悪なプーさん、牙の生えたピグレット... 映画『血とはちみつ』について分かっていること (ニューズウィーク日本版, 5/27)。ディズニーキャラクターのプーさんは PD じゃないので注意と。
》 5月30日以降はあなたのメールソフトでGmailの送受信ができなくなるかも! (窓の杜, 5/27)。OAuth 対応が必須となるようです。
そんなメールソフトでのGmail送受信に5月30日、大きな変更が加えられます。ユーザー名とパスワードだけのログイン(基本認証)はブロックされるようになるのです。「Thunderbird」や「Becky! Internet Mail」、「秀丸メール」といった最近でもしっかり更新されているメールソフトは心配ありませんが、すでに何年も更新されていないレガシーなメールソフトでは、送受信できなくなる恐れがあります。
》 ADVISORY: Trend Micro Endpoint Issue with Microsoft KB5014019 Windows 11/Server 2022 Preview Patch (May 24, 2022) (トレンドマイクロ, 5/26)。KB5014019 を適用すると「Apex One 2019, Worry-Free Business Security Advanced 10.0, Apex One as a Service 2019, Deep Security 20.0, Deep Security 12.0, Worry-Free Business Security Services 6.7」の User Mode Hooking (UMH) コンポーネント (ランサムウェア防御などを実施) が機能を停止するそうで。
とりあえず KB5014019 をアンインストールするしかない模様。
》 Broadcom、約7.8兆円でVMwareを買収 (PC Watch, 5/27)。正式発表来ましたね。
BroadcomはVMwareを買収したあと、自社のソフトウェアグループをVMwareとしてブランド名を変更して運用。VMwareのポートフォリオの一部として、既存のインフラストラクチャおよびセキュリティソフトソリューションを提供する。
……何ですって? Broadcom to Acquire VMware for Approximately $61 Billion in Cash and Stock (broadcom, 5/26)
Following the closing of the transaction, the Broadcom Software Group will rebrand and operate as VMware, incorporating Broadcom's existing infrastructure and security software solutions as part of an expanded VMware portfolio.
お、ぉぅ……。SEP も VMware Endpoint Protection になるのかな?
》 DNSなどを学ぶマンガ小冊子、教育機関向けに無償配布。ウェブサイト「ポン太のインターネット教室」も公開~JPRS (Internet Watch, 5/26)
》 Twitterが個人情報不正利用で連邦取引委員会に190億円の罰金支払いへ (gigazine, 5/26)
2022 年 5 月のセキュリティ更新プログラム (月例) (2022.05.11)
CVE-2022-26923 – Active Directory Domain Services Elevation of Privilege Vulnerability の解説。
修正されたDNSHostName偽装による権限昇格問題 (塩月誠人 / セキュリティ・プロフェッショナルズ・ネットワーク, 2022.05.26)
このようにコンピュータアカウントのdNSHostName属性は証明書によるコンピュータの認証において重要な役割を果たしますが、一方でdNSHostName属性は、そのコンピュータをドメインへ追加したユーザであれば一定の条件下で他の値に変更することができ、しかもそれが他のコンピュータと重複していても構わないという問題がありました。一般的な攻撃シナリオは次の通りです。
Certifried: Active Directory Domain Privilege Escalation (CVE-2022-26923) (Oliver Lyak / Institut For Cyber Risk, 2022.05.10)。発見者によるブログ。
Microsoft Windows Active Directory Certificate Services Improper Authorization Privilege Escalation Vulnerability ZDI-22-729 ZDI-CAN-16168 (ZDI, 2022.05.10)
いろいろ (2022.05.24) VMware Workspace ONE Access / Identity Manager / vRealize Automation
関連:
VMware Authentication Bypass Vulnerability (CVE-2022-22972) Technical Deep Dive (horizon3.ai, 2022.05.26)
horizon3ai / CVE-2022-22972 (GitHub)。CVE-2022-22972 PoC。
》 ウクライナ侵攻に「もう関わりたくない」 辞職したロシア外交官、BBCに語る (BBC, 5/24)、 ロシア外交官、侵攻に抗議の辞職 「噓を広め、戦争を煽っている」 (朝日, 5/24)。ボリス・ボンダレフ氏。
》 Appleの「セルフサービス修理プログラム」を使って自分の手でiPhoneを修理した感想 (gigazine, 5/23)。「実際に修理プロセスを試した身から言わせてもらうと、このプログラムはまったくオススメできません」。
》 当社における品質不適切行為に関する原因究明及び再発防止等について(第3報) (三菱電機, 5/25)
》 ウクライナ、ロシアがドンバスに「非常識な数」の兵士と装備を持ち込んだ (航空万能論 GF, 5/25)。老兵 T-62 も現役復帰だそうで。 関連:
Russia Deploys 50-Year-Old T-62 Tanks To Ukraine (The WAR ZONE, 5/25)
ウクライナ軍司令官、英雄主義だけでセベロドネツクを守るのは不可能 (航空万能論 GF, 5/26)。そりゃそうだ。ロシアが攻勢をかけているなら尚のこと。
》 デンマーク、黒海の封鎖を解くためハープーンのウクライナ提供を決定 (航空万能論 GF, 5/24)。デンマーク海軍が保有する地上発射型ハープーンを提供するそうで。 関連:
Harpoon Anti-Ship Missiles Headed To Ukraine From Denmark (The WAR ZONE, 5/23)
ウクライナの倉庫に出荷できない小麦の山、農家の目に涙 食料危機の懸念 (BBC, 5/20)。輸出したいものがたくさんある。
》 自治体アプリ改修に関わっていた北朝鮮籍IT技術者への不正送金事案についてまとめてみた (piyolog, 5/25)
》 「cakes」が8月末でのサービス終了を告知。運営会社が同じ「note」を不安視する声も (やじうま Watch, 5/26)。 「フィクションってことにしませんか」でおなじみ の cakes、ついに終了だそうです。
》 知床観光船事故1か月~問われる国のチェック体制 (NHK 解説委員室, 5/23)。こここそが問題の焦点だよなあ。
今回の事故を受けて国は専門家による検討会で再発防止策の検討を始めました。
重要なポイントのひとつが悪質な事業者を見つけ出し、すぐ是正させたり、退場させたりする仕組みづくりです。ただ監査・検査の要員に余裕はなく、容易なことではありません。
参考になるのは過去のバス事故とその後の対応です。
関連:
知床遊覧船事故対策検討委員会 (国土交通省)。7月に中間とりまとめ、年内に最終とりまとめの予定。
》 日米首脳会談 クアッド首脳会合 成果と課題 (NHK 解説委員室, 5/24)
バイデン大統領は記者会見で、中国が武力で台湾統一を図ろうとした場合、台湾防衛のため軍事的に関与する意思を明言し、従来よりも踏み込んだ発言として波紋を広げました。 (中略) 大統領の発言は、うっかり舌を滑らせた失言だったのでしょうか?どうもそうとも言い切れません。
このあとホワイトハウスは声明を発表し、「アメリカの政策は変わっていない」と説明しましたが、発言は訂正しませんでした。
発言を記録した映像を再生すると、大統領が手もとのメモを見ていたこともわかります。
》 ウクライナ情勢と世界の食糧危機 (NHK 解説委員室, 5/25)
とくに、主食となる小麦の輸出量では、ロシアが世界第1位、ウクライナが第5位で、この両国で、世界のおよそ30%を占めます。とうもろこしも、両国合わせて、およそ20%、食用のひまわり油は、50%以上を占めています。戦争の影響で、この両国からの食糧輸出が激減し、戦争前からすでに高値となっていた世界の食糧価格が、いっそう高騰しています。
》 最高裁裁判官の国民審査、在外投票を認めないのは違憲 大法廷が判決 (朝日, 5/25)。当然なのですが。
》 アゾフスターリ 「地獄」で何が起きたか (朝日, 5/25)。「生還した市民8人が16時間にわたって語った証言を伝えます」。
兵士の先導で、1時間半ほどかけて、製鉄所の外に出た。そこで国連職員と合流し、バスに乗せられた。
バスが到着したのは、親ロシア派支配地域内にあった「選別キャンプ」だった。
「話したくない」。選別キャンプでの出来事について、ナタリアさんは語ろうとしなかった。
ナタリアさんはキャンプで2日間過ごし、5月8日、再びバスに乗って中南部ザポリージャに着いた。
語れないようなことをされたと。
》 フリーライターへのセクハラ認定、会社は安全配慮義務違反 東京地裁 (朝日, 5/25)。「連帯して約140万円の慰謝料を命じる判決」。 この件でしょうか?
叱責した後「ハグしてあげる」 フリーライター女性が契約先をセクハラと報酬未払いで提訴 (小川たまか / Yahoo, 2020.09.09)
「セクハラ」「報酬未払い」…被害訴えるフリーランス (朝日, 2020.11.13)
》 ツイート「タヒね」は「表現の自由」 日弁連が懲戒処分を取り消し (朝日, 5/25)
》 三菱電機、新たに101件の不正発覚 管理職が指示していたケースも (朝日, 5/25)。「コスト削減などのため、管理職が指示していた事例が複数あった」。
》 Kindleの一部モデルで電子書籍の購入が不可能に (gigazine, 5/25)。第5世代以前。「古いモデルではTLS 1.0と1.1しかサポートしておらず」。ォゥ。
》 CrystalDiskMark等の偽物がMicrosoft Storeに現れる (ニッチなPCゲーマーの環境構築Z, 5/25)。ダメじゃん……。
》 Using NMAP to Assess Hosts in Load Balanced Clusters (SANS ISC, 5/25)
》 DuckDuckGoはMicrosoftのトラッカーを拒否できない契約を結んでいる (gigazine, 5/25)
》 アメリカの教会で台湾人が台湾人を襲撃した理由 襲撃事件で露呈した中国統一派「韓粉」の過激さ (東洋経済, 5/25)。5/15 銃乱射事件の件。
これまで韓粉は、台湾の選挙戦でたびたび意見が異なる有権者への嫌がらせ等で物議を醸してきた。今回の事件で、嫌がらせをするどころか人さえ殺めることもいとわないことが明らかになった。韓粉に共通するのは、「中台統一の大義のためなら多少の狼藉は構わない」という点だ。興奮が度を越し暴徒になったフーリガンとは異なり、韓粉には政治信念として中国統一があり、まったくぶれることがない。
関連:
教会銃撃の容疑者、中台関係めぐる政治的動機か 米カリフォルニア州 (CNN, 5/17)
米で教会襲撃の容疑者、親中派団体に所属か 警察「台湾系を標的」 (朝日, 5/18)
》 スズキ「納車6カ月待ち」国内販売の深刻な事態 (東洋経済, 5/25)。納期半年ですか。そんなにひどいとは。
Chrome 102.0.5005.61 が stable に (Windows 版では 102.0.5005.62 や 102.0.5005.63 もある模様。手元の Windows では 102.0.5005.63 ばかりだった)。 32 件のセキュリティ修正を含む。 iida さん情報ありがとうございます。
「Microsoft Edge 102」が「Chrome」の一週間遅れで正式版に 深刻度「Critical」の問題を含む24件の脆弱性に対処 (窓の杜, 2022.06.01)。Edge 102.0.1245.30 だそうです。
脆弱性の修正は、CVE番号ベースで24件。「Chrome 102」における変更とほぼ共通(最大深刻度は「Critical」)だが、「Edge」独自の問題として以下の3件が対処されている(括弧内は深刻度の評価)。
- CVE-2022-30128:権限昇格(Moderate)
- CVE-2022-30127:権限昇格(Moderate)
- CVE-2022-26905:なりすまし(Low)
PyPI パッケージ ctx と PHP ライブラリー phpass がトロイ版になってたそうです。
関連:
ctx Python Library Updated with "Extra" Features (SANS ISC, 2022.05.24)
Account Takeover and Malicious Replacement of ctx Project (Python Security, 2022.05.24)
Poisoned Python and PHP packages purloin passwords for AWS access (Sophos, 2022.05.25)
Cisco IOS XRソフトウェアのヘルスチェックにおけるオープンポートの脆弱性 (Cisco, 2022.05.20)。CVE-2022-20821
この脆弱性は、ヘルスチェックRPMがデフォルトでTCPポート6379をアクティブ化すると開くため存在します。攻撃者は、オープンポートでRedisインスタンスに接続することで、この脆弱性を不正利用する可能性があります。エクスプロイトに成功すると、攻撃者はRedisインメモリデータベースへの書き込み、コンテナファイルシステムへの任意のファイルの書き込み、およびRedisデータベースに関する情報の取得が可能になります。Redisインスタンスが実行されるセキュリティで保護されたコンテナが設定されていると、リモート攻撃者はリモートコードを実行できないか、Cisco IOS XRソフトウェアホストシステムの整合性を悪用できません。
CISA Adds 21 Known Exploited Vulnerabilities to Catalog (CISA, 2022.05.23) に CVE-2022-20821 も含まれている。
VMSA-2022-0015 - VMware Tools for Windows update addresses an XML External Entity (XXE) vulnerability (CVE-2022-22977) (VMware, 2022.05.24)。 VMware Tools for Windows 10.x / 11.x / 12.0.0.x に欠陥があり、 local user による DoS 攻撃や意図しない情報の取得が可能となる。 VMware Tools for Windows 12.0.5 で修正されている。
》 [誤警告情報]TROJ_FRS.VSNTEN22の検出について (トレンドマイクロ, 5/24)
》 長老たち「ロシアの言い分聞くべき」 若手専門家が猛反発 (毎日, 5/18)
和田氏らの考えは、ロシアとウクライナの主張を突き合わせて妥協点を見いだし、停戦すべきだという主張だ。
これについて、福田教授は「妥協点を見いだすことが外交のリアリズムで、そうしなければ戦争は止まらないと言いたいのかもしれない。でも、私たち若い世代の研究者は、もうその論理ではダメだと言っているのです。(妥協の結果が)正義や善からかけ離れる可能性があるためです」と力説する。
「妥協点を見いだし、停戦」した結果 (ミンスク合意) を反故にして再びロシアがウクライナに侵攻した、のが今回の状況なのでねえ。
関連: ウクライナ危機でドイツを激怒させたプーチン氏の選択 (岩間陽子 / 毎日, 2/24)
さらに、OSCEの権威をも否定しているところが深刻である。OSCEは、ミンスク合意の署名者であり、その履行について話し合うためのウクライナ、ロシアとのTCG(3者連絡グループ)にも参加している重要なアクターである。現在も危険な東部地域で情勢監視を続けており、その報告は数少ない客観的で重要な情報源となっている。
ショルツ氏のモスクワ訪問と並行して、ウィーンではOSCEの会合が開かれていた。OSCEウィーン文書に基づき、締約国は他の締約国の軍事活動につき、48時間以内に説明を求めることができ、さらにその48時間以内に会合を要請することができる。この規定に基づき、ウクライナはロシアにウィーンでの会合に参列するように求めていたのだが、ロシアはその場に現れなかった。
(中略)
ショルツ氏が、ロシア軍が明白な形でウクライナ国境を越えたか否かに関係なく、制裁を発動したのはこのためである。制裁を発表した記者会見で彼は、「ロシアは、過去約50年の間に自らが明示的に加入したすべての国際法上の合意、とりわけヘルシンキ基本文書を破った」と批判した。
外交関係を一気に 50 年戻すような相手なのです。
》 New Bluetooth Hack Could Let Attackers Remotely Unlock Smart Locks and Cars (Hacker News, 5/19)
》 Microsoft 365 電子帳簿保存法対応に関するホワイトペーパー 公開 (Microsoft, 5/19)
》 ハンガリー AIを利用したコールセンターでの顧客対応がGDPR違反と判定された事例(ハンガリー銀行) (まるちゃんの情報セキュリティ気まぐれ日記, 5/23)
》 Windows 11がハッキング大会中に6回もハッキングされる、テスラやUbuntuも餌食に (gigazine, 5/23)。Pwn2Own Vancouver 2022 の件。
》 Locked Shields 2022 参加記 (JPCERT/CC Eyes, 5/24)
Locked Shieldsは新しい技術やシステムを採り入れています。なかでも2022年のLocked Shieldsに新しく加わった要素は、金融分野のシステムでした。外貨準備や金融業務に関する通信システムが追加されました。また、フェイクニュースや情報操作への対応も演習の中で問われたのも、今年の特徴でした。
》 【社説】米国の粉ミルク不足、責任は政府にあり (Wall Street Journal, 5/20)
この問題は、米アボット・ラボラトリーズのミシガン州の工場で製造された粉ミルクを飲んだ乳児4人が重体に陥り、同工場が閉鎖されたことに端を発している。アボットの製品は米市場の約42%を占めており、他の大手メーカー3社(ペリゴ、ネスレ、ミード・ジョンソン)は、それを補えるほど迅速に生産量を増やすことができていない。
シェア 4 割の工場が突然止まったと。
最大17.5%の関税をはじめとする貿易保護主義や食品医薬品局(FDA)の表示・成分要件が競争を制限している。米国の乳児用粉ミルクの約98%は国産だが、欧州やオーストラリア製のものと安全性は変わらない。FDAは国外工場を検査する権限を持っているが、関税によって輸入品の競争力は低くなっている。
解決策は、関税を一時停止し、信頼できる貿易相手国に対して表示・成分要件を緩和することだ。
関連:
粉ミルクのクロノバクター属菌汚染リスク、昨年時点で米FDAが把握 (ブルームバーグ, 5/13)
アボット、粉ミルク生産再開巡りFDAから同意獲得 (ロイター, 5/17)、 米アボットの粉ミルク工場、1─2週間で再開見込み=FDA (ロイター, 5/20)
》 「ノババックス」のワクチン 滋賀県が6月から接種開始 (NHK, 5/20)
対象は、他社のワクチンで強い副反応が出た人の2回目と3回目の接種のほか、アレルギーなどの副反応を理由にこれまでに新型コロナのワクチンを1度も打ったことのない県内に住む18歳以上の人です。
確保したワクチンは80人分で、予約が多かった場合は接種が3回目となる人を優先するということです。
当該住民逮捕 (5/18) (電子計算機使用詐欺の疑い)
山口 阿武町 4630万円誤給付 24歳住民を逮捕 警察 (NHK, 5/19)
関口郷思弁護士のツイート
自分の銀行口座に誤振込されたものを、誤振込と知りながら、
— 弁護士 関口 郷思(せきぐち さとし) (@sekiguchisatosh) May 18, 2022
①ATMで現金引出→窃盗罪の問題
②窓口で現金引出→詐欺罪の問題
③ATMやネットバンキングで自分の他の口座に振込→電子計算機使用詐欺罪の問題
ということになります。今回は③を捉えての逮捕のようですね。
護送金と電子計算機使用詐欺罪 (壇弁護士の事務室, 5/21)
本件は、他人のキャッシュカードやオンラインバンキングを使うことが問題になっているわけではない、誤って大金を振り込んでしまったので、返金して欲しい者がいるということであり、そういう人の気持ちを振り込まれた側の銀行が忖度することを法的にどう評価するかである。
一般には虚偽とは、真実ではない場合をいうので、自己の正当な権限で送金した場合は含まないと考えそうである。不実というのも、事実ではないという場合に該当するので、自己の正当な権限で送金した場合は含まないと考えそうである。
とすると、電子計算機使用詐欺は成立しないというのが素直な解釈であり、今後の立法により解決すべしということになりそうである。
しかし、「不正な指令」は背景事情を含め総合的に考えると言う立場をとり、さらに、「不実」とは背景事情を知っていたら銀行が対応を拒否したかもしれない場合を広く含むとか「虚偽」は銀行が忖度できないような事情を広く含むという見解をとれば本件で電子計算機利用詐欺罪の成立が可能となる。
(中略)
私は、平成15年最高裁を含めても、相手は機械なのだから誤った振込みがあった旨を通知すべき信義則上の義務なんてものは無いし、通知する方法はないと思っているので、電子計算機使用詐欺は成立しないという立場である。
決済代行業者 3 社のうち 1 社が取扱額 35,924,691 円全額を「返還」 (5/20)
決済代行業者の1つから山口 阿武町の口座に3500万円余 返還 (NHK, 5/23)。被疑者が支払ったのは以下の金額だそうです。
| デビッド決裁 | 3,401,071 |
|---|---|
| A社 | 35,924,691 |
| L社 | 3,000,000 |
| M社 | 4,000,000 |
| 振込手数料 | 6,160 |
3500万円を阿武町へ返還、代行業者が入金 4630万円誤入金 (朝日, 5/23)
阿武町への入金は「返還」なのか 識者が読み解く決済代行業者の対応 (朝日, 5/23)。興味深い。
元検事の亀井正貴弁護士は、業者側からの「自主返還」とみる。 (中略) 「業者側には、カジノにかかわる資金が入っている口座を捜査されるより、これで終わりにしたい気持ちもあったのかも知れない」
残り 2 社についても「返還」された模様 (5/24)
3社を特定→出向き差し押さえ通知 4299万円を取り戻した阿武町 (朝日, 5/24)
町側が確保したのは4299万3434円。田口容疑者が3社に出金した計4292万4691円と、田口容疑者の口座に残っていた6万8743円の合計という。
「3社に取り立て命令、全額返してきた」 阿武町側の弁護士が説明 (朝日, 5/24)
そもそもなぜこんなことに?
阿武町 「給付金」4630万円誤振込 事件の経緯は (NHK, 5/19)
まず4月1日。
町は給付金の対象となった463世帯の口座情報をフロッピーディスクに入れて銀行に渡し、振り込みの手続きは完了していました。
ところが、6日になって、町は、本来必要のない振り込み依頼書を誤って銀行に提出。
依頼書の一番上に記載があった田口容疑者に、一括で4630万円が振り込まれる手続きが取られたのです。
銀行から指摘を受けて、町が誤りに気づいたのは、その2日後。
すでに現金10万円と、4630万円が二重に振り込まれていました。
必ずしもフロッピーが原因なわけではないように読める。
始まりは誤って印刷した1枚の用紙 4630万円誤入金騒動の背景は (朝日, 5/19)
阿武町は新型コロナウイルスに関する臨時特別給付金の入金のため4月1日、対象463世帯の世帯主と振込先口座の名簿を記録したフロッピーディスクなどを町の指定金融機関に持参。手続きはこれで終わっていた。
ところが6日、職員の一人が、町役場のシステム内から「振込依頼書」を誤って印刷。必要な文書と思い込み、金融機関へ別途、提出した。依頼書には名簿の一番上の世帯しか印字されず、そこに載っていた田口翔容疑者の口座に4630万円を振り込む内容になった。
4630万円“必要ない依頼書”で誤送金「上司のチェックなし」…フロッピーに住民リスト (TV 朝日 / Yahoo, 5/20)
町役場幹部:「本来なら必要ない『振込依頼書』を出納室の職員が誤った操作で作成して、なぜか銀行に出してしまった。そもそも、出す必要がない書類なので、上司もチェックをしていなかった」
上司のチェックを受けることなく、振込依頼書が銀行に提出されたため、田口容疑者に4630万円が振り込まれたといいます。
《山口・阿武町 給付金4630万円誤送金》役場関係者から有力情報!返還拒否する“疑惑の移住者”を直撃 (週間女性 PRIME, 5/7)
「これまではベテランの女性職員が担当する仕事だったが、彼女が総務部に異動していたんです。そのため、今年4月に採用になったばかりの新人職員が担当したのですが……」
ミスをした職員の上司の課長は時期外れの異動になったとか。
「責任をとらされたのだと思います。さらに、総務部へ異動していたベテラン女性職員は、再び戻ってきたみたいです」(同・町民)
山口貴士弁護士のツイート (5/23)
75%回収というのはこの手の事案では悪くない。決済代行会社をかましている場合なのは決済代行経由で加盟店(この場合にはオンラインカジノ)圧力をかける手法が有効。加盟店は決済代行から切られると商売が出来なくなるし、決済代行はカード会社から切られると潰れるので、https://t.co/sACSzrsuVW
— 山口貴士 aka無駄に感じが悪いヤマベン (@otakulawyer) May 23, 2022
フロッピーについてはこちら
4630万円誤送金で脚光浴びた「フロッピーディスク」 絶滅どころか公的機関でいまだ“現役”の事情〈dot.〉 (AERA / Yahoo, 5/19)
いろいろ (2022.04.21) VMware Workspace ONE Access, Identity Manager, vRealize Automation, Horizon Agent for Linux, Horizon Agent for Linux
Alert (AA22-138B) Threat Actors Chaining Unpatched VMware Vulnerabilities for Full System Control (CISA, 2022.05.18)
脅威に関する情報: VMwareの脆弱性(CVE-2022-22954他) 実際の悪用も確認 (paloalto networks unit42, 2022.05.22)
CVE-2022-1729: race condition in Linux perf subsystem leads to local privilege escalation (oss-sec ML, 2022.05.20)
トレンドマイクロのWindows版「パスワードマネージャー」に権限昇格の脆弱性 (窓の杜, 2022.05.23)
VMSA-2022-0014 - VMware Workspace ONE Access, Identity Manager and vRealize Automation updates address multiple vulnerabilities. (VMware, 2022.05.18)。CVE-2022-22972, CVE-2022-22973。
VMSA-2022-0014: What You Need to Know (VMware, 2022.05.18)
Alert (AA22-138B) Threat Actors Chaining Unpatched VMware Vulnerabilities for Full System Control (CISA, 2022.05.18)
脅威に関する情報: VMwareの脆弱性(CVE-2022-22954他) 実際の悪用も確認 (paloalto networks unit42, 2022.05.22)
本稿執筆時点ではCVE-22972、CVE-2022-22973のPoCは確認されていません。本稿は新たな発見があり次第更新されます。
関連:
VMware Authentication Bypass Vulnerability (CVE-2022-22972) Technical Deep Dive (horizon3.ai, 2022.05.26)
horizon3ai / CVE-2022-22972 (GitHub)。CVE-2022-22972 PoC。
》 電気自動車からの給電で停電時のエレベーター継続利用を可能とするV2Xシステムの実証を開始 (日立ビルシステム, 5/23)
本システムは、停電発生時に、V2X対応充放電装置であるハイブリッドPCS*2を使用してエレベーターなどのビル設備の電源を電気自動車からの給電に切り替えるとともに、エレベーターについて分速30mの低速運転に変更する制御を行うもので、最大で10時間程度*3エレベーターを継続運転させることを可能にし、災害に対するレジリエンスを向上します。
関連:
GSユアサ京都事業所にV2Xシステムを導入 (GSユアサ, 2021.06.08)
太陽光発電、蓄電池、電気自動車、V2X機能付きマルチPCSを活用した非常時の安定的な電力供給の実現に向けた実証試験について (東電, 2021.10.08)
》 米ブロードコムがヴイエムウェア買収交渉、ソフト強化へ-関係者 (ブルームバーグ, 5/23)
》 定番メールソフト「Becky! Internet Mail」がついにWindows 8.1以前のサポートを終了 (窓の杜, 5/18)。いよいよ 8.1 以前がガンガン捨てられる時代に突入か。
》 ライセンスビジネスに見る「Arm」と「RISC-V」の関係 (PC Watch, 5/23)
ArmからIPを買ってSoCを作っている限りは、CPU構築のスキルが手元に残らないことになる。 CPUを設計/製造できるスキルを保とうとした場合、Armアーキテクチャに固執することはあまり賢明とは言えない。これが、大手のメーカーがRISC-Vを志向する大きな理由の1つである。
》 偽造困難な「呼気」で生体認証する実証に成功。東大/JSTら (PC Watch, 5/23)。うひー。
》 思わぬところに抜け道? MSアカウントなしでWindows 11をセットアップする裏技が報告される (Internet Watch, 5/19)
今回新たに見つかったのは、Microsoftアカウントの入力を求められたときに存在しないメールアドレスとパスワードを入力し続けると、一定回数を経過したところでそれらがロックされ、ローカルアカウントでのセットアップ画面に切り替わるというもの。
》 個人情報流出事故を防止可能になったOutlookアドイン「おかん for Outlook」v2.7.0.0 (窓の杜, 5/20)
Firefox 100.0 / ESR 91.9.0、Firefox for Android 100、Thunderbird 91.9.0 公開 (2022.05.06)
Firefox 100.0.2 / ESR 91.9.1、Thunderbird 91.9.1 公開。Pwn2Own Vancouver 2022 で攻略された欠陥を修正。iida さん情報ありがとうございます。
Firefox 100.0.2、Firefox for Android 100.3.0 がリリースされた (mozillaZine, 2022.05.21)
Thunderbird 91.9.1 がリリースされた (mozillaZine, 2022.05.21)
Pwn2Own Vancouver 2022 - The Results (ZDI, 2022.05.18)
》 Internet Weekショーケース 徳島・オンライン。 2022.06.23〜24、オンライン / 徳島県徳島市、無料。 ハンズオンが無料とか、太っ腹すぎる企画。
》 福島第一原発 処理水審査事実上合格 残された課題は (NHK 解説委員室, 5/19)
》 When Your Smart ID Card Reader Comes With Malware (Krebs on Security, 5/17)
》 善意のハッキングを行うセキュリティ研究では訴えられない新方針を司法省が発表 (gigazine, 5/20)
【独自】北朝鮮技術者、日本のスマホアプリ開発…自治体防災アプリなど7件の業務請け負う (読売, 5/18)
北朝鮮技術者のアプリ開発、2年前の事件でも仲介サイト使用 (読売, 5/20)
関連:
米 “北朝鮮がIT技術者利用し外貨獲得 ミサイル開発資金源に” (NHK, 5/17)
》 ブランドのチーズ「パルミジャーノ・レッジャーノ」はチーズ詐欺と戦うため小さなトラッカーを付けている (gigazine, 5/20)
》 【訃報】「ブレードランナー」「炎のランナー」で知られる音楽家ヴァンゲリス氏死去 (gigazine, 5/20)。合掌。
》 SpaceXがイーロン・マスクのセクハラを隠蔽するために客室乗務員に3000万円以上を支払ったという報道 (gigazine, 5/20)
サル痘とは (名古屋検疫所)
サル痘ウイルスが属するウイルスのグループ「オルソポックスウイルス属」には、かつて世界で猛威をふるった痘そう(天然痘)ウイルスも含まれ、実際サル痘と痘そう(天然痘)は症状もそっくりです。
ただし、サル痘での致死率は下記のとおり痘そう(天然痘)よりは低く、かつ、痘そうと違って連続したヒト-ヒト感染はこれまで報告されていません。
(中略)
サル痘に特化したワクチンはないものの、痘そう(天然痘)ワクチン(別名:種痘)に一定の予防効果があります。 (中略) 1980年の根絶宣言以降、痘そうワクチンは市場に流通しておらず国家備蓄となっているため、接種機会は限られています。
天然痘に似た症状「サル痘」イギリス アメリカなど患者相次ぐ (NHK, 5/19)
サル痘に詳しい岡山理科大学の森川茂教授は「天然痘の根絶によって若い世代はワクチンを接種していないので、基礎疾患があり、免疫力が低い人は重症化するおそれがある。新型コロナウイルスのように飛まつ感染で広がりやすいウイルスではないので、世界中に一気に広がる可能性は低いと思うが、海外の感染が広がっている地域で、野生動物にむやみに触れるようなことは避けてほしい」と話しています。
「サル痘」カナダなどでも感染報告 欧米中心に感染拡大懸念 (NHK, 5/20)
欧米で「サル痘」の報告相次ぐ アフリカ渡航歴ない例も WHO警戒 (朝日, 5/20)
アフリカで散発的に発生する病気だが、アフリカへの渡航歴のない人での感染例が続き、各国の保健当局は感染経路などを調べている。
「サル痘」の感染報告、欧米などで相次ぐ 保健当局が調査 (BBC, 5/20)
オーストラリアは20日に、ヨーロッパへの旅行から戻ってきた男性がサル痘に感染していたと発表した。
ヨーロッパやアメリカ大陸で拡大中の感染症「サル痘」とはどういう病気なのか? (gigazine, 5/20)
》 EmoCheck v2.3.0 (JPCERT/CC / GitHub)。出てます。
》 顔認証技術に基づく誤認逮捕が狂わせた3人の男の人生 (WIRED, 5/17)
》 ネットに流れたゼレンスキー大統領の自殺説、ロシア側が情報作戦に重点 (CNN, 5/20)
ワシントン(CNN) 米サイバーセキュリティー企業のマンディアントは19日、ロシア軍がウクライナに侵攻した数週間後、ウクライナのボロディミル・ゼレンスキー大統領が自殺したという偽情報をロシア側の工作員が流していたと伝えた。
こちらの記事: The IO Offensive: Information Operations Surrounding the Russian Invasion of Ukraine (Mandiant, 5/19)
Apple、Windows版「iTunes 12.12.4」を公開 ~5件の脆弱性に対処 (窓の杜, 2022.05.19)
Fixed in 7.83.1 (curl, 2022.05.11)
Vulnerabilities in curl 7.83.0 (curl)。この 6 件が 7.83.1 で修正された。
2022 年 5 月のセキュリティ更新プログラム (月例) (2022.05.11)
不具合情報:
イベントビューアーが動作しない不具合。KB5013942やKB5013943インストール後に発生 [Update 1: 更新プログラムをアンインストールしない回避策を加筆] (ニッチなPCゲーマーの環境構築Z, 2022.05.15)。 これも 『.NET Framework 3.5 (.NET 2.0 および 3.0を含む)』『Windows Communication Foundation HTTP アクティブ化』『Windows Communication Foundation 非HTTP アクティブ化』 の有効化で対応できる事例。
Microsoft Storeアプリのインストールに失敗する不具合。KB5013942等が原因。修正プログラムKB5015020を緊急リリース (ニッチなPCゲーマーの環境構築Z, 2022.05.20)。 Windows 10 20H2 / 21H1 / 21H2 で発生。 KB5015020 を個別に適用すれば対応できる。
サービスの認証に失敗する不具合の修正を緊急リリース。Windows Server 2022用KB5015013など (ニッチなPCゲーマーの環境構築Z, 2022.05.20)。
2022年5月11日に公開・配信されたWindows Server用の更新プログラムをドメインコントローラーにインストールすると、Network Policy Server (NPS)、Routing and Remote access Service (RRAS)、Radius、Extensible Authentication Protocol (EAP)、Protected Extensible Authentication Protocol (PEAP)などのサービスに対して、サーバーまたはクライアント上で認証に失敗するという不具合が発生しています。
各サーバー用の更新プログラムを個別に適用すれば対応できる。 記事にリンクあり。
iOS 15.5 では「iPhone SE (第3世代)が予期せずシャットダウンする問題を修正」しているそうです。
iOS 15 のアップデートについて (Apple)
BIND 9.18 系列、および開発版である BIND 9.19 系列の DNS over HTTPS (DoH) 実装に欠陥があり、 DoH 機能が有効な場合、 remote から DoS 攻撃を実施できる。
BIND 9.18.3 / 9.19.1 で修正されている。
関連:
CVE-2022-1183: Destroying a TLS session early causes assertion failure (ISC, 2022.05.18)
4. BIND 9 Configuration Reference (BIND 9 Administrator Reference Manual (v9_18_0))
If a TLS configuration is specified, named will listen for DNS-over-TLS (DoT) connections, using the key and certificate specified in the referenced tls statement. If the name ephemeral is used, an ephemeral key and certificate created for the currently running named process will be used.
If an HTTP configuration is specified, named will listen for DNS-over-HTTPS (DoH) connections using the HTTP endpoint specified in the referenced http statement. If the name default is used, then named will listen for connections at the default endpoint, /dns-query.
Use of an http specification requires tls to be specified as well. If an unencrypted connection is desired (for example, on load-sharing servers behind a reverse proxy), tls none may be used.
If a port number is not specified, the default is 53 for standard DNS, 853 for DNS over TLS, 443 for DNS over HTTPS, and 80 for DNS over HTTP (unencrypted). These defaults may be overridden using the port, tls-port, https-port and http-port options.
》 LibreSSL 3.5.3 Release Notes (OpenBSD, 5/18)
NVIDIA、GeForceドライバセキュリティ情報を公開。計10件の脆弱性 (ニッチなPCゲーマーの環境構築Z, 2022.05.17)
》 カンヌ映画祭「キャメラを止めるな!」で開幕 ゼレンスキー大統領も (朝日, 5/18)。「カメラを止めるな!」のフランス版リメイクだそうで。
この作品はフランスのタイトルは「Z」だったが、「Z」はロシア支持を表すとしてウクライナの映画界が抗議。「COUPEZ!(カット!)」に改められた。
こんなところにもロシア軍の影響が。
》 「張り子の虎」だったロシア 韓国元陸軍中将が見た弱体化の理由 (朝日, 5/17)。申源湜議員 (元陸軍中将)。 核兵器保有コストがロシア軍の弱体化を招いたのではないかと述べており、興味深い。
――韓国には、核武装や原潜の保有を主張する人も大勢います。
私は、核武装は必要ないと考えています。米国は、自分たちの「核の傘」を含む「拡大抑止力」を信じない動きだと受け止めるでしょう。核不拡散条約(NPT)を破壊する行為だと評価され、国際社会から制裁される可能性があります。
これは日本もそのとおりなのだけど、 申議員、原潜については無回答ですね。実際、韓国は原潜取得を目指しているそうだし。
イーロン・マスクのTwitter買収、何が問題なのか (p2ptk.org, 5/15)
世界有数の金持ちがオンラインの「公共広場」をコントロールすることは、中央集権的なインターネットのトレンドを強化するだけにしかならない。今日のインターネットは、初期の分散・多様なインターネットとはかけ離れている。この規模の権力、資金、個人データの集中は、民主主義やオンラインの人権の行使を危うくするだけである。
イーロン・マスクの「表現の自由」は我々に何をもたらすのか (p2ptk.org, 5/15)
Twitterのアクティブアカウントの約20%がスパム・偽アカウントであるという調査結果 (gigazine, 5/17)
イーロン・マスクがウンチの絵文字「💩」をTwitterのCEOにたたきつけアンチスパムポリシーを非難 (gigazine, 5/17)
イーロン・マスクが「Twitterのボットが5%未満であると証明されるまでTwitter買収は前進できない」とツイート (gigazine, 5/18)
》 iOS/Androidで広告IDのトラッキングを停止する方法と、今すぐそうすべき理由 (p2ptk.org, 5/17)
》 経済産業省 産業構造審議会 知的財産分科会 不正競争防止小委員会 中間報告書、秘密情報の保護ハンドブック等 (まるちゃんの情報セキュリティ気まぐれ日記, 5/18)
ちなみに、秘密情報の保護ハンドブックは300ページ弱もあります。。。
》 トラブルで初号機打ち上げ延期 期待に応えられるか 新型H3ロケット開発 (NHK 解説委員室, 5/17)。エンジン開発はかように難しいわけですが、
H3の開発で今のH2Aはあと5回の打ち上げで運用終了することが決まっている。
H3 ができてもいないのに H2A 終了が決まっているのがねえ。 このせいでウクライナ危機需要もゲットできてないし。
》 ヒアリ・アカミミガメ・アメリカザリガニ 外来生物法こう変わる! (NHK 解説委員室, 5/16)
暗号資産「テラ」の暴落が、不可避だったと言えるこれだけの理由 (WIRED, 5/14)
99.99%下落した「Terra(LUNA)」のビットコイン積立金が行方不明に、創設者の自宅には不審人物が出没 (gigazine, 5/16)
一夜にして価値ゼロになった「Terra(LUNA)」の4500億円以上あったビットコイン準備金がたった12億円になっていたことが判明 (gigazine, 5/17)
テラUSD(UST)のディペッグ騒動 Terraform Labs社や取引所の対応まとめ (coinpost.jp, 5/16)
「テラ(LUNA)をフォークする」 エコシステム存続に向けた復興プランが投票へ (coinpost.jp, 5/14)
「アルゴリズム型ステーブルコインなしでフォークする」 LUNAの復興プラン2が投票へ (coinpost.jp, 5/17)
》 FIRSTの加盟手続きが変わりました (JPCERT/CC, 5/12)
》 iPhoneの電源がオフの場合でもマルウェアが侵入するおそれがあると専門家が警告 (gigazine, 5/17)
》 サブスク・定期購入を自動更新にしているとAppleのアプリ開発側で自動値上げが可能に (gigazine, 5/17)
Firefox 100.0 / ESR 91.9.0、Firefox for Android 100、Thunderbird 91.9.0 公開 (2022.05.06)
Firefox 100.0.1 公開。
Firefox 100.0.1 がリリースされた (mozillaZine, 2022.05.17)
Windows: コンテンツプロセスが Win32k API にアクセスすることを Firefox のセキュリティサンドボックスがブロックするようになった (bug 1767999)
Bug 1767999 - Re-enable Win32k Lockdown by Default (Mozilla) によると security.sandbox.content.win32k-disable のデフォルト値が true になったのだそうで。
PostgreSQL 14.3, 13.7, 12.11, 11.16, and 10.21 Released! (PostgreSQL, 2022.05.12)。セキュリティ修正 CVE-2022-1552: Autovacuum, REINDEX, and others omit "security restricted operation" sandbox を含む。
JVNDB-2022-001806 Apache Tomcat における WebSocket 接続の実装に関する問題 (JVN, 2022.05.17)。 Tomcat 9.0.21 (2019.06.07) / 8.5.76 (2022.02.28) で修正された件が 2022.05.12 になって公開された話。 iida さん情報ありがとうございます。
パッケージ版 Garoon 脆弱性に関するお知らせ (サイボウズ, 2022.05.13)
Moodle 4.0.1 and other minor versions released today (Moodle, 2022.05.09)。 Moodle 4.0.1 / 3.11.7 / 3.10.11 / 3.9.14 公開。MSA-22-0010 〜 MSA-22-0014 を修正。
出てました。
About the security content of iOS 15.5 and iPadOS 15.5 (Apple, 2022.05.16)
About the security content of watchOS 8.6 (Apple, 2022.05.16)
About the security content of tvOS 15.5 (Apple, 2022.05.16)
macOS
About the security content of macOS Monterey 12.4 (Apple, 2022.05.16)
About the security content of macOS Big Sur 11.6.6 (Apple, 2022.05.16)
About the security content of Security Update 2022-004 Catalina (Apple, 2022.05.16)
Safari 15.5 のセキュリティコンテンツについて (Apple, 2022.05.16)。iida さん情報ありがとうございます。
Xcode 13.4 のセキュリティコンテンツについて (Apple, 2022.05.16)
iOS 15.5 では「iPhone SE (第3世代)が予期せずシャットダウンする問題を修正」しているそうです。
iOS 15 のアップデートについて (Apple)
本件で修正されたセキュリティ欠陥の 1 つの詳細解説:
Uncovering a macOS App Sandbox escape vulnerability: A deep dive into CVE-2022-26706 (Microsoft, 2022.07.13)
》 HUI Loaderの分析 (JPCERT/CC Eyes, 5/16)
》 スウェーデンとフィンランド、NATO加盟申請を正式決定 (BBC, 5/16)。次の焦点はトルコの出方か。
一方、アメリカのアントニー・ブリンケン国務長官とNATOのイエンス・ストルテンベルグ事務総長は、トルコによる加盟反対を乗り越える自信があると述べた。
》 5つの病院の医師が白内障手術の画像データを医療機器メーカーに無断で第三者提供していたことを個人情報保護法的に考えた (なか2656のblog, 5/15)
》 【Windows 11】自動サインインができなくなった? いいえできます、でも[設定]アプリで設定が必要です (@IT, 5/16)
Microsoftアカウントでサインインしている場合、[ユーザーアカウント]ダイアログに「ユーザーがこのコンピューターを使うには、ユーザー名とパスワードの入力が必要」が表示されないことがある。
この場合、[ユーザーアカウント]ダイアログをいったん閉じて、[設定]アプリを起動、左ペインで[アカウント]を選択し、右ペインで[サインインオプション]画面を開き、「追加の設定」欄の「セキュリティ向上のため、……Windows Helloサインインのみを許可する」のスイッチを「オフ」にする。
この面倒くささは、もはや嫌がらせであろ。
》 SpaceX、最新の「Starlink」対象地域マップを公開--32カ国で利用可能に (CNET, 5/17)。北米、ヨーロッパ、ニュージーランドのかなりの部分、オーストラリアの一部、南米の一部など。 「日本は2022年第3四半期にサービス開始となっている」。
》 “スマホのマイクでこっそり盗聴”を妨害する技術 静かな音で会話内容を改ざん (ITmedia, 5/17)
》 通販サイトの商品画像がおかしい? 金爆・鬼龍院さんの検証ツイートが話題 販売元に問い合わせてみた (ITmedia, 5/14)。進撃の巨人。
》 DeepLの“珍誤訳”が話題に 「I'm sorry」の日本語訳は?→「アイム・ソーリー・ヒゲソーリー」 (ITmedia, 5/16)。ゴミを学習してしまっている、修正が困難であるようだ (なかなか直らない)、 という問題。 学習元データが糞なのだろうなあ。
》 「ゆっくり茶番劇」商標登録者が方針転換 使用料は不要も「権利は当社のもの」 (ITmedia, 5/17)
》 Apple製品はどこから来ている?地図で見るサプライヤー:世界編 (iPhone Mania, 5/15)
》 Twitter、パクツイ撲滅につながる新ポリシーを発表。見つけ次第、誰でも報告が可能 (やじうま Watch, 5/16)。ようやくですか。
》 FreeBSD 13.1-RELEASE Announcement (FreeBSD, 5/16)
2022 年 5 月のセキュリティ更新プログラム (月例) (2022.05.11)
Windows 11 + Sophos Home で 2022.05 Microsoft 定例 patch (KB5013943) を入れるとブルー画面になるそうで。 Sophos Homen の更新プログラムが公開 (自動アップデート) されています。 Sophos Homen に含まれる hmpalert.sys が原因だそうで。
FIXED- Windows 11 Bluescreen/stop error after Windows Update KB5013943 (Sophos, 5/17更新)。 Product version 3.8.4.46 で修正されている。 回避方法として、KB5013943 のアンインストールの他、 hmpalert.sys を rename して起動時に読み込ませないようにする、が紹介されている。
》 [gnutls-help] gnutls 3.7.5 (Gnu, 5/13)。「bug fix and enhancement release」。iida さん情報ありがとうございます。
》 Chrome 拡張機能がブロックされたときに "ブラウザ侵入防止は正しく機能していません" の警告が表示される (broadcom, 4/20)。SEP ねた。
注: 上記の変更はクラウド登録された SES クライアントのみです。オンプレミスの SEPM で管理されている SEP クライアントは、バージョン 14.3 RU5 でこの機能を搭載する予定です。
》 ロシア海軍 Elbrus 級 (Project 23120) 兵站支援艦 Vsevolod Bobrov、炎上
Ukraine lines up Russia’s Vsevolod Bobrov ship off coast of Snake Island (UKRINFORM, 5/12)
最新鋭ロシア艦船に新たな損害か ウクライナが炎上と発表 (産経, 5/13)
Project 23120 (RussianShips.info)
Elbrus Class (Project 23120) Logistics Support Vessels (Naval Technology, 2017.07.05)
》 フィンランド外相“早ければ来週半ばにもNATO加盟申請へ” (NHK, 5/13)
加盟が認められるまでの間にロシアが軍事的な行動をとるのではないかという見方については、「確かに危険な時期だ」としたうえで、イギリスなどヨーロッパの国々が力強い支援を申し出てくれているとし、「混乱が起きるとは考えていないが、そうした事態にも準備は怠ってはいけない」と述べました。
関連:
ロシアが報復を警告、フィンランド首脳のNATO加盟支持表明を受け (CNN, 5/13)
ロシア、フィンランドのNATO加盟に「報復措置」と警告 欧米は全面支持 (BBC, 5/13)
フィンランドのNATO加盟は想定外 いらだつロシア、領空侵犯も (朝日, 5/13)
フィンランド加盟申請、NATOは歓迎 極寒の地での軍事作戦秀でる (朝日, 5/12)
》 Windows Sysinternals 更新情報 (2022 年 5 月 12 日) - AccessChk 6.15、RAMMap 1.61、Sysmon 13.34 (山市良のえぬなんとかわーるど, 5/12)
業務にアマチュア無線を常用していた (やっちゃ駄目)
<知床の観光船遭難事故>事実解明が待たれる「アマチュア無線で交信」の疑問点 (hamlife.jp, 4/28)
<ようやく新聞各紙が“不正使用”を報道>遭難事故を起こした知床遊覧船、「連絡手段として日常的にアマチュア無線を用いていたことが判明」と毎日新聞が報じる (hamlife.jp, 5/10)
知床沖 観光船沈没 アマチュア無線使用で国から行政指導 (NHK, 5/11)
あの日「カズワン」に何が起きたのか カズスリー甲板員の混乱と後悔 (朝日, 5/5)
カズワンの船長「不安なんだ…」 仕出屋配達員が知床で船を操るまで (朝日, 5/10)
》 「ロシアがウクライナの衛星通信ネットワークにサイバー攻撃を仕掛けた」とアメリカ・イギリス・EUが公式に非難 (gigazine, 5/11)
》 英国、フィンランド・スウェーデンと安全保障強化で合意 (BBC, 5/12)。これ自体は、相互防衛ではなく相互支援にとどまる内容みたい。 まあ、NATO 入りを目指しているわけだしね。
フィンランド首相 1週間以内にNATO加盟申請に向け決断 (NHK, 5/11)。マリン首相、日本に来てるんですね。
NATO、フィンランド・スウェーデン加盟を迅速承認へ (ロイター, 5/12)
NATO急接近、マリン首相が歴史的転換 ロシアは痛いオウンゴール (朝日, 5/12)。鶴岡路人・慶応大准教授インタビュー。
》 2021年に報告されたフィッシングサイトの傾向と利用されたドメインについて (JPCERT/CC Eyes, 4/25)
JPCERT/CCでは、2021年に44,242件のインシデント報告が寄せられ、そのうちフィッシングサイトに関するインシデント件数は、23,104件でした。本ブログでは、JPCERT/CCに報告されたフィッシングサイトの情報をもとに、報告件数の推移やかたられたブランドの業種別割合、フィッシングサイトに利用されたドメインの傾向について解説します。
インシデント報告、単純平均で 121件/day ですか。平日/土日で偏りあるだろうしなあ。
》 「ブラザーオンライン」で不正ログイン発生、最大12万6676件のアカウントが被害 (Internet Watch, 5/11)、 会員向けサービスサイト「ブラザーオンライン」における 不正ログインの発生について (ブラザー, 5/10 更新)
不正ログインをした第三者がお客様の保有する「トク刷るポイント」*1を不正に利用したこと、あわせてお客様のご登録情報が不正ログインをした第三者により閲覧できる状況にあったことを確認しております。
インテルのCPU/SSD製品などに脆弱性 ~最大深刻度は「HIGH」 (窓の杜, 2022.05.12)
「Qt」で開発されたWindowsアプリに権限昇格の問題、アプリの権限で任意コードが実行されるおそれ (窓の杜, 2022.05.10)
JVNVU#92669710 - Qt製Windowsアプリケーションにおける権限昇格の脆弱性 (JVN, 2022.05.09)。モジュール検索パスが qt_prfxpath にハードコードされているため、そこに悪意あるモジュールを配置されると任意のコードが実行される。
対応するには、Qt 5.14 以降でアプリを作り直すか、あるいはパッケージ化ツール windeployqt を最新版に更新してアプリを作り直す。
JVNVU#98578492 - Apache TomcatのEncryptInterceptorのドキュメントにおける記載誤りの問題 (JVN, 2022.05.11)、 EncryptInterceptor only provides partial protection on untrusted network (github)。 iida さん情報ありがとうございます。 Tomcat 8.5.79 / 9.0.63 / 10.0.21 / 10.1.0-M15 の ドキュメントで以下を明記。
The EncryptInterceptor provides confidentiality and integrity protection but it does not protect against all risks associated with running a Tomcat cluster on an untrusted network, particularly DoS attacks.
信頼できないネットワーク上の Tomcat クラスターに対して、 EncryptInterceptor は CIA の C と I しか提供しない、特に DoS 攻撃への耐性は提供しないと。
CVE-2022-24903: rsyslog < 8.2204.1 heap buffer overrun (oss-sec ML, 2022.05.05)。8.2204.1 (最新版) では直っていると。
Adobe 月例は 5 件。 Character Animator、 ColdFusion、 InDesign、 Framemaker、 InCopy。 Priority はいずれも 3。
》 ウクライナ侵攻協力の現職敗北 親ロ派「大統領選」で―ジョージア (時事, 5/10)。南オセチア方面。
》 経済制裁でロシアは一体どれほどのダメージを受けているのか? (gigazine, 5/8)。 関連:
ロ軍の疲弊鮮明 制裁で兵器調達困難に―西側情報筋 (時事, 5/10)
ロシアへの経済制裁は関係なかった!!? 上昇傾向だった中古車価格が下落に転じた真相 (ベストカー, 5/8)
》 ロシアでGoogle Playの有料アプリのダウンロード&アップデートが不可能に (gigazine, 5/9)
》 Windowsイベントログを利用したファイルレスマルウェアの手法が観測される (gigazine, 5/10)、 A new secret stash for “fileless” malware (securelist, 5/4)
2022.05 Microsoft 定例。
- .NET and Visual Studio
- Microsoft Exchange Server
- Microsoft Graphics Component
- Microsoft Local Security Authority Server (lsasrv)
- Microsoft Office
- Microsoft Office Excel
- Microsoft Office SharePoint
- Microsoft Windows ALPC
- Remote Desktop Client
- Role: Windows Fax Service
- Role: Windows Hyper-V
- Self-hosted Integration Runtime
- Tablet Windows User Interface
- Visual Studio
- Visual Studio Code
- Windows Active Directory
- Windows Address Book
- Windows Authentication Methods
- Windows BitLocker
- Windows Cluster Shared Volume (CSV)
- Windows Failover Cluster Automation Server
- Windows Kerberos
- Windows Kernel
- Windows LDAP - Lightweight Directory Access Protocol
- Windows Media
- Windows Network File System
- Windows NTFS
- Windows Point-to-Point Tunneling Protocol
- Windows Print Spooler Components
- Windows Push Notifications
- Windows Remote Access Connection Manager
- Windows Remote Desktop
- Windows Remote Procedure Call Runtime
- Windows Server Service
- Windows Storage Spaces Controller
- Windows WLAN Auto Config Service
悪用あり (0-day):
情報公開済み、悪用なし:
Windows Hyper-V Denial of Service Vulnerability CVE-2022-22713 (Microsoft)。「Exploitation Less Likely」
Insight Software: CVE-2022-29972 Magnitude Simba Amazon Redshift ODBC Driver (Microsoft)。「Exploitation More Likely」
patch をあてただけでは解決しない問題:
Exchange の件:
Microsoft Exchange の脆弱性 CVE-2022-21978 からシステムを保護するためには、セキュリティ更新プログラムの適用に加え、追加の作業を実施する必要があります。 Microsoft Exchangeの管理者は、CVE-2022-21978 および Microsoft Exchange チームブログ Released: May 2022 Exchange Server Security Updatesを参照し、必要な作業を実施してください。
Active Directory の件:
[5/11 追記] 今月のセキュリティ更新プログラムで修正した脆弱性 CVE-2022-26931 および CVE-2022-26923 は、Active Directory 環境における証明書ベースの認証動作に存在する特権昇格の問題です。2022 年 5 月のセキュリティ更新プログラムを適用することで、“互換モード (Compatibility Mode)” になります。このモードでは、従来通り証明書ベースの認証は動作しますが、認証時に監査ログが記録されます。脆弱性からシステムを保護するためには、KDCでレジストリを変更し、証明書ベースの認証を強化する必要があります。証明書ベースの認証を強化は、2023 年 5 月のセキュリティ更新日までに、設定を強化する更新プログラムを配信する予定です。
KB5014754—Certificate-based authentication changes on Windows domain controllers (Microsoft) に従って変更する必要があると。
SSU 更新:
Latest Servicing Stack Updates ADV990001 (Microsoft)。 Windows 7 / Server 2008、Server 2012、Windows 8.1 / Server 2012 R2、 Windows 10 Version 1607/Server 2016 で更新。
不具合情報:
【Windows11】 WindowsUpdate 2022年5月 不具合情報 - セキュリティ更新プログラム KB5013943 [Update 2] (ニッチなPCゲーマーの環境構築Z, 2022.05.11)
KB5013943にアプリが起動しない・動作しない不具合。多数の不具合報告で阿鼻叫喚。対処方法あり (ニッチなPCゲーマーの環境構築Z, 2022.05.11)。 .NET Framework 3.5 なアプリで発生する模様。 『.NET Framework 3.5 (.NET 2.0 および 3.0を含む)』『Windows Communication Foundation HTTP アクティブ化』『Windows Communication Foundation 非HTTP アクティブ化』 の有効化で対応できる。
Microsoft: Windows 11 KB5012643 update will break some apps (bleepingcomputer, 2022.05.04)。コマンドラインだとこうなるようです:
dism /online /enable-feature /featurename:netfx3 /all
dism /online /enable-feature /featurename:WCF-HTTP-Activation
dism /online /enable-feature /featurename:WCF-NonHTTP-Activation
【Windows10】 WindowsUpdate 2022年5月 不具合情報 - セキュリティ更新プログラム KB5013942 [Update 1] (ニッチなPCゲーマーの環境構築Z, 2022.05.11)
【Windows8.1】 WindowsUpdate 2022年5月 注意事項と各KBメモと直リンク KB5014011 / KB5014001等 (ニッチなPCゲーマーの環境構築Z, 2022.05.11)
関連:
Microsoft May 2022 Patch Tuesday (SANS ISC, 2022.05.10)
May 2022 Security Updates (Microsoft)
Vulnerability mitigated in the third-party Data Connector used in Azure Synapse pipelines and Azure Data Factory (CVE-2022-29972) (Microsoft, 2022.05.09)
Windows 11 + Sophos Home で 2022.05 Microsoft 定例 patch (KB5013943) を入れるとブルー画面になるそうで。 Sophos Homen の更新プログラムが公開 (自動アップデート) されています。 Sophos Homen に含まれる hmpalert.sys が原因だそうで。
FIXED- Windows 11 Bluescreen/stop error after Windows Update KB5013943 (Sophos, 5/17更新)。 Product version 3.8.4.46 で修正されている。 回避方法として、KB5013943 のアンインストールの他、 hmpalert.sys を rename して起動時に読み込ませないようにする、が紹介されている。
不具合情報:
イベントビューアーが動作しない不具合。KB5013942やKB5013943インストール後に発生 [Update 1: 更新プログラムをアンインストールしない回避策を加筆] (ニッチなPCゲーマーの環境構築Z, 2022.05.15)。 これも 『.NET Framework 3.5 (.NET 2.0 および 3.0を含む)』『Windows Communication Foundation HTTP アクティブ化』『Windows Communication Foundation 非HTTP アクティブ化』 の有効化で対応できる事例。
Microsoft Storeアプリのインストールに失敗する不具合。KB5013942等が原因。修正プログラムKB5015020を緊急リリース (ニッチなPCゲーマーの環境構築Z, 2022.05.20)。 Windows 10 20H2 / 21H1 / 21H2 で発生。 KB5015020 を個別に適用すれば対応できる。
サービスの認証に失敗する不具合の修正を緊急リリース。Windows Server 2022用KB5015013など (ニッチなPCゲーマーの環境構築Z, 2022.05.20)。
2022年5月11日に公開・配信されたWindows Server用の更新プログラムをドメインコントローラーにインストールすると、Network Policy Server (NPS)、Routing and Remote access Service (RRAS)、Radius、Extensible Authentication Protocol (EAP)、Protected Extensible Authentication Protocol (PEAP)などのサービスに対して、サーバーまたはクライアント上で認証に失敗するという不具合が発生しています。
各サーバー用の更新プログラムを個別に適用すれば対応できる。 記事にリンクあり。
CVE-2022-26923 – Active Directory Domain Services Elevation of Privilege Vulnerability の解説。
修正されたDNSHostName偽装による権限昇格問題 (塩月誠人 / セキュリティ・プロフェッショナルズ・ネットワーク, 2022.05.26)
このようにコンピュータアカウントのdNSHostName属性は証明書によるコンピュータの認証において重要な役割を果たしますが、一方でdNSHostName属性は、そのコンピュータをドメインへ追加したユーザであれば一定の条件下で他の値に変更することができ、しかもそれが他のコンピュータと重複していても構わないという問題がありました。一般的な攻撃シナリオは次の通りです。
Certifried: Active Directory Domain Privilege Escalation (CVE-2022-26923) (Oliver Lyak / Institut For Cyber Risk, 2022.05.10)。発見者によるブログ。
Microsoft Windows Active Directory Certificate Services Improper Authorization Privilege Escalation Vulnerability ZDI-22-729 ZDI-CAN-16168 (ZDI, 2022.05.10)
Chrome 101.0.4951.64 公開。13 件のセキュリティ修正を含む。
》 認知症の人が見ている世界 (NHK 解説委員室, 5/9)。補助 AI がほしい。
》 海賊版サイト 漫画の被害深刻 無くならないワケ (NHK 解説委員室, 4/29)
》 ビットコインの価格がピーク時から55%下落し一時390万円を下回る、ステーブルコインUSTの価格も不安定に (gigazine, 5/10)
》 ロシアのチップメーカーがArmアーキテクチャへのアクセスをイギリス政府によって禁止される (gigazine, 5/9)
》 ロシアのテレビがハッキングされ全番組名が「あなたの手はウクライナの子どもの血で汚れている」に (gigazine, 5/10)
》 Amazonで購入の中国製バッテリー出火 責任の所在は (産経 / ITmedia, 5/9)
一方、Amazonで購入した欠陥商品のトラブルを巡る同種訴訟は、米国では消費者側が勝訴する判決が相次いでいる。その背景にあるのは「製造物責任」に対する日米の考え方の違いだ。
製造物責任法(PL法)に詳しい久留米大法学部の朝見行弘教授によると、日本では製造業者のみが責任を負うのに対し、米国では製造業者を含めた販売業者が負うとされ、AmazonのようなDPF事業者も、販売を仲介する「流通の直接的な環」と評価されるようになったという。
》 TIS、「PCI DSSv4.0」への準拠支援コンサルティングサービスを提供 (クラウド Watch, 5/10)。PCI DSS 4.0 が出ていたのですね。 知らんかった。
Securing the Future of Payments: PCI SSC Publishes PCI Data Security Standard v4.0 (PCI Security Standards Council, 3/31)
PCI DSSv4.0を読む② v4.0の印象とタイムスケジュール (Fox on Security, 4/27)
ページ数が多くなるとは事前にPCI SSCから聞いてはいたのですが、v4.0の英語版をダウンロードされた方は300ページを超える資料を見て、そっとファイルを閉じたくなった方も多かったのではないでしょうか。(中略) 実はv3.2.1に比べて圧倒的に良い点があります。それが、
・丁寧な解説が加わった
という点です。
PCI DSSv4.0を読む③ カスタマイズドアプローチ (Fox on Security, 5/3)
》 どんな仕組み? Googleアシスタントがパスワードを自動的に変更する機能が新登場 (やじうま Watch, 5/9)
Chromeに搭載された、流出済みパスワードをそのまま使用していることを検知すると警告する機能の延長線上にあるもので、Googleアシスタントが自動的に新しいパスワードに書き換えてくれるという機能。 (中略) 今のところAndroid版のChrome限定
》 Amazon、偽レビューの大手ブローカーを提訴。協力していたユーザーの情報提出も要求 (やじうま Watch, 5/10)
対象となっているのは香港を拠点とするExtreme Rebate社で、同社はユーザーに提供した無料製品に関して写真や動画を含んだ15語以上からなる5つ星のレビューを投稿すると、最大4ドルをメンバーに支払うスキームを実行しているとされる。(中略) AmazonはExtreme Rebate以外にも、同じく偽レビューのブローカー3社に対して法的措置を取り、約35万人を対象に行われていた不正スキームをすでに停止させたことを明らかにしている。
Extreme Rebate 社は Amazon に抵抗したため提訴、ということか。
Unauthorized gem takeover for some gems (GitHub, 2022.05.06)。CVE-2022-29176
rubygems CVE-2022-29176 explained (Greg Molnar, 2022.05.06)
Updates regarding Rubygems ‘Unauthorized gem takeover for some gems’ vulnerability CVE-2022-29176 (GitLab, 2022.05.09)
RubyGems supply chain rip-and-replace bug fixed – check your logs! (Sophos, 2022.05.09)
IPCOM シリーズのコマンド操作端末/Webブラウザ端末とIPCOM間通信における脆弱性について (富士通, 2022.05.09)
FUJITSU Network IPCOMの運用管理インタフェースの脆弱性に関する注意喚起 (JPCERT/CC, 2022.05.09)
》 「Zoom」が無料アカウント主催の全ミーティングを40分に制限 (窓の杜, 5/9)
》 著作権侵害の監視をプロバイダーに強制する「SMART著作権法」案に対してInternet Archiveや電子フロンティア財団が反対意見を表明 (gigazine, 5/7)
》 Googleドキュメントに「And. And. And. And. And.」と入力するとクラッシュしてしまうバグが発見される (gigazine, 5/6)
》 ランサムウェアスポットライト:Conti (トレンドマイクロ セキュリティ blog, 5/9)。関連:
米国務省、ランサムウェア「Conti」の指導者に超高額の報奨金 (マイナビニュース, 5/9)、 Reward Offers for Information to Bring Conti Ransomware Variant Co-Conspirators to Justice (state.gov, 5/6)
Contiランサムウェアの内部構造を紐解く (MBSD, 4/13)
》 Apple・Google・Microsoftがパスワードなしの認証システム「パスキー」の利用拡大に合意 (gigazine, 5/6)、 Apple, Google and Microsoft Commit to Expanded Support for FIDO Standard to Accelerate Availability of Passwordless Sign-Ins (FIDO, 5/5)。 FIDO 標準への対応を拡大すると。 OS レベルで対応されるようになるのかな。
》 NATOサイバー防衛協力センターに韓国が参加--アジアの国で初 (ZDNet, 5/9)。Member nation (Contributing Participant) になったということ。 日本は Member nation には含まれないが、 職員と資金を提供しているのかな。
About us (CCDCOE)
The Centre is staffed and financed by Austria, Belgium, Bulgaria, Canada, Croatia, the Czech Republic, Denmark, Estonia, Finland, France, Germany, Greece, Hungary, Ireland, Italy, Japan, Latvia, Lithuania, Luxembourg, Montenegro, the Netherlands, Norway, Poland, Portugal, Romania, Slovakia, Slovenia, South Korea, Spain, Sweden, Switzerland, Turkey, the United Kingdom, and the United States.
The CCDCOE held a flag-raising ceremony for new Members (CCDCOE, 5/5)。カナダ、韓国、ルクセンブルグ。
Japan to Join the NATO Cooperative Cyber Defence Centre of Excellence in Tallinn (CCDCOE, 2018.01.12)
先月も演習やってたみたい。
NATOサイバー防衛協力センターによるサイバー防衛演習「ロックド・シールズ2022」への参加について (防衛省, 4/19)
Finland Wins Cyber Defence Exercise Locked Shields 2022 (CCDCOE, 4/22)
》 トレンドマイクロ Apex One での誤検知 (5/3)。 対応済み。
[復旧済み][誤警告情報][TROJ_FRS.VSNTE222の検出について] (トレンドマイクロ, 5/4)。Microsoft Edge のファイルを誤検出。
》 東映アニメーションへの不正アクセスについてまとめてみた (piyolog, 4/30)
》 Ubuntu 22.04 LTSの新機能,リモートデスクトップのRDPサポートを使用する (Ubuntu Weekly Recipe, 4/27)
OpenSSL Security Advisory (OpenSSL, 2022.05.03)。OpenSSL 1.0.2ze / 1.1.1o / 3.0.3 で修正。
iida さん情報ありがとうございます。
JVNVU#93032579 - OpenSSLに複数の脆弱性 (JVN, 2022.05.06)
QSA-22-07 - Vulnerability in QVR (QNAP, 2022.05.06)。QVR 5.1.6 build 20220401 以降で対応。
QSA-22-16 - Multiple Vulnerabilities in QTS, QuTS hero, and QuTScloud (QNAP, 2022.05.06)。remote から任意のコマンドを実行できたり、 悪意あるコードを挿入できたりするなど。最新のファームウェアで対応されている。
Netatalk 3.1.13 (Netatalk, 2022.03.23)。7 件のセキュリティ修正を含む。
Synology-SA-22:06 Netatalk (Synology, 2022.04.28)。DSM 7.1-42661-1 以降で対応。DSM 7.0 / 6.2 等はまだ。
Multiple Vulnerabilities in Netatalk (QNAP, 2022.04.25)。QTS 4.5.4 系は QTS 4.5.4.2012 build 20220419 以降で対応。 他はまだ。
Cisco Enterprise NFV Infrastructure Software Vulnerabilities (Cisco, 2022.05.04)。 Cisco Enterprise NFVIS 4.7.1 で修正。
F5 BIG-IP Unauthenticated RCE Vulnerability (CVE-2022-1388) (SANS ISC, 2022.05.08)
K23605346: BIG-IP iControl REST vulnerability CVE-2022-1388 (F5, 2022.05.04)
K55879220: Overview of F5 vulnerabilities (May 2022) (F5, 2022.05.04)。CVE-2022-1388 の件の他にもいろいろ。
Google、Androidの2022年5月セキュリティ更新を発表 (窓の杜, 2022.05.06)
ClamAV 0.105.0, 0.104.3, 0.103.6 released (ClamAV, 2022.05.04)。6 件のセキュリティ修正を含む。
CVE-2022-20803: Fixed a possible double-free vulnerability in the OLE2 file parser. Issue affects versions 0.104.0 through 0.104.2. Issue identified by OSS-Fuzz.
CVE-2022-20770: Fixed a possible infinite loop vulnerability in the CHM file parser. Issue affects versions 0.104.0 through 0.104.2 and LTS version 0.103.5 and prior versions. Thank you to Michał Dardas for reporting this issue.
CVE-2022-20796: Fixed a possible NULL-pointer dereference crash in the scan verdict cache check. Issue affects versions 0.103.4, 0.103.5, 0.104.1, and 0.104.2. Thank you to Alexander Patrakov and Antoine Gatineau for reporting this issue.
CVE-2022-20771: Fixed a possible infinite loop vulnerability in the TIFF file parser. Issue affects versions 0.104.0 through 0.104.2 and LTS version 0.103.5 and prior versions. The issue only occurs if the "--alert-broken-media" ClamScan option is enabled. For ClamD, the affected option is "AlertBrokenMedia yes", and for libclamav it is the "CL_SCAN_HEURISTIC_BROKEN_MEDIA" scan option. Thank you to Michał Dardas for reporting this issue.
CVE-2022-20785: Fixed a possible memory leak in the HTML file parser / Javascript normalizer. Issue affects versions 0.104.0 through 0.104.2 and LTS version 0.103.5 and prior versions. Thank you to Michał Dardas for reporting this issue.
CVE-2022-20792: Fixed a possible multi-byte heap buffer overflow write vulnerability in the signature database load module. The fix was to update the vendored regex library to the latest version. Issue affects versions 0.104.0 through 0.104.2 and LTS version 0.103.5 and prior versions. Thank you to Michał Dardas for reporting this issue.
Firefox も 3 桁になりました。セキュリティ修正を含みます。
Firefox 100 がリリースされた (mozillaZine, 2022.05.04)
Firefox for Android 100 がリリースされた (mozillaZine, 2022.05.04)
Thunderbird 91.9.0 がリリースされた (mozillaZine, 2022.05.04)
Firefox 100.0.1 公開。
Firefox 100.0.1 がリリースされた (mozillaZine, 2022.05.17)
Windows: コンテンツプロセスが Win32k API にアクセスすることを Firefox のセキュリティサンドボックスがブロックするようになった (bug 1767999)
Bug 1767999 - Re-enable Win32k Lockdown by Default (Mozilla) によると security.sandbox.content.win32k-disable のデフォルト値が true になったのだそうで。
Firefox 100.0.2 / ESR 91.9.1、Thunderbird 91.9.1 公開。Pwn2Own Vancouver 2022 で攻略された欠陥を修正。iida さん情報ありがとうございます。
Firefox 100.0.2、Firefox for Android 100.3.0 がリリースされた (mozillaZine, 2022.05.21)
Thunderbird 91.9.1 がリリースされた (mozillaZine, 2022.05.21)
Pwn2Own Vancouver 2022 - The Results (ZDI, 2022.05.18)
![[セキュリティホール memo]](/~kjm/security/memo/memologo-s.png)