Last modified: Tue Apr 16 15:59:34 2024
+0900 (JST)
短縮 URL: http://goo.gl/pwSG QR コード:
http://goo.gl/pwSG.qr
Security Watch さんが店じまいされてしまったので、 個人で追いかけてみるテストです。 備忘録として書いておくつもりなので、 Security Watch さんのような詳細なものではありません。 基本的なターゲットは UNIX、Windows、Mac OS (priority 順) とします。 また、このページの内容はどのページにも増して無保証であることを宣言しておきます。全ての情報が集まっているわけもありません。
ここに載せる情報については、可能な限り 1 次情報源へのリンクを作成しておきます。 各自で 1 次情報源の内容を確認してください。 このページの内容をくれぐれも鵜飲みにしないように。 間違いを発見された方、記載されていない情報をご存知の方、ぜひおしえてください。よろしくお願いいたします。
このページの情報を利用される前に、注意書きをお読みください。
[ 定番情報源 ] 過去の記事: 2024 | 2023 | 2022 | 2021 | 2020 | 2019 | 2018 | 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998
「Scan Security Wire」 主催の SCAN Security Wire NP Prize 2001 を受賞しました。 |
|
|
「ネットランナー」の ベスト・オブ・常習者サイト 2003 で金賞を、ベスト・オブ・常習者サイト 2004 で銀賞を受賞しました。 |
復刊リクエスト受付中:
ジェイムズ.F.ダニガン「 新・戦争のテクノロジー」(現在58票)
中山信弘「ソフトウェアの法的保護」 (現在112票) (オンデマンド購入可)
陸井三郎訳・編「ベトナム帰還兵の証言」 (現在109票)
林克明「カフカスの小さな国 チェチェン独立運動始末」 (現在175票)
田中徳祐「我ら降伏せず−サイパン玉砕戦の狂気と真実」 (復刊決定)
RSS に対応してみました。
小ネタは含まれていません。「政治ねたウゼェ」という人は RSS ベースで読むと幸せになれるでしょう (ウザくない人は こっちの RSS がよいかもしれません)。
RSS 1.0 ですので、あくまで RDF Site Summary です。
現在は Really Simple Syndication には対応していません。
今すぐ Really Simple Syndication がほしい人は、のいんさんによる
Web サイトの RSS を勝手に出力するプロジェクト
……のものがうまくいっていないようなので、
セキュmemoのRSS生成
をご利用ください。Tamo さん情報ありがとうございます。
》 鳥インフルエンザが、かつてない規模で哺乳類へと広がっている (WIRED, 4/13)。H5N1 の件。ひたひたと迫ってきている。
報復攻撃の火種: シリアのイラン大使館領事部への攻撃 (4/1)
シリアのイラン大使館領事部に空爆、死者多数 イスラエルを非難 (BBC, 4/2)
イスラエルは、イランとヒズボラがこれまで、一部で予想されていたほど強い攻勢に出てこなかったことに着目。今回、イランとヒズボラが反撃に出るかを見定めるとみられる。
何らかの反応は予想されるが、大勢が思うようなものにはならない可能性がある。ミサイル攻撃ではなく、ある種のサイバー攻撃もあり得る。
ナーメテーター案件。
懸念。
バイデン氏、イランのイスラエル攻撃は近くあり得ると予想 大使館空爆めぐる報復懸念 (BBC, 4/13)。「いずれではなく、もっと手前で」
攻撃。弾道ミサイル・巡航ミサイル・自爆ドローン計「300発以上」(イスラエル軍発表) による複合攻撃。 ただし、どうやらイランから事前通告が行われていた模様。 また米国側は周辺各国の早期警戒情報を利用できた模様。 つまり、奇襲では全くない。示威行為か。
弾道ミサイルは主にアローシステムで、巡航ミサイルと自爆ドローンは主に各国の戦闘機で迎撃された模様。
イスラエル、「イランの攻撃の99%を迎撃」 (JETRO, 4/15)。「ミサイル警報アプリ(Tzofar)の4月14日の空襲警報画面」が興味深い。
イラン、イスラエルにドローンやミサイル発射 米軍が支援し「ほとんど」迎撃とバイデン氏 (BBC, 4/14)
イランがイスラエルに報復、ミサイルなど300発以上発射 少女1人負傷 (毎日, 4/14)
イスラエル軍によると、イランによる攻撃は無人機約170機と30発あまりの巡航ミサイル、120発以上の弾道ミサイルによって行われた。イスラエル軍は米国などの支援を受け「99%」(ハガリ報道官)を迎撃。
【詳細】イラン イスラエルに無人機やミサイルで大規模攻撃 (NHK, 4/14)
イスラエル軍元准将、イランの攻撃阻止にかかった費用は1,600億円以上 (航空万能論 GF, 4/14)。誘導弾はとにかく高価なのだよなあ。
各国の戦闘機: イスラエル、米国、イギリス、ヨルダン、フランス。
イラン無人機、米軍が周辺基地から撃墜 ヨルダンも迎撃 (ロイター, 4/14)
イランの無人機 イギリス軍の戦闘機が撃墜 スナク首相が表明 (TBS, 4/15)
イランの攻撃を「99%」迎撃 米高官が明かした防衛の内幕 (毎日, 4/16)
地中海東部に展開する米軍の駆逐艦2隻が弾道ミサイル4~6発を破壊し、米軍機が70機以上のドローンを撃墜した。イラク北部でも米軍の地対空ミサイルが弾道ミサイル1発を迎撃したが、大半の弾道ミサイルはイスラエルの防衛システムが撃ち落とした。
How the U.S. Forged a Fragile Middle Eastern Alliance to Repel Iran’s Israel Attack (Wall Street Journal, 4/15)。DeepL 訳:
攻撃の2日前、イラン政府高官は、サウジアラビアやその他の湾岸諸国の担当者に、イスラエルへの大規模な攻撃計画の概要とタイミングについて説明し、これらの国々が領空を守ることができるようにしたという。この情報はアメリカにも伝えられ、ワシントンとイスラエルに重要な事前警告を与えた。
イランのミサイルとドローンは、発射された瞬間から、ペルシャ湾諸国の早期警戒レーダーによって追跡され、カタールにあるアメリカの作戦センターにリンクされ、ヨルダン上空やその他の空域にいる数カ国の戦闘機や、海上の軍艦、イスラエルのミサイル防衛砲台に情報が送信された、と当局者は語った。
動きの遅いイランの無人機が射程内に入ると、ほとんどがイスラエルとアメリカの戦闘機によって、少数ではあるがイギリス、フランス、ヨルダンの戦闘機によって撃墜されたと当局者は語った。
エスカレーションはあるか?
イラン、イスラエルへの報復攻撃完了を宣言「成功した」「限定的な作戦だった」 (読売, 4/14)
イスラエルとイラン、全面戦争をアメリカや西側は防げるのか=BBC国際編集長 (BBC, 4/15)
イスラエルの今後の動きは? イランと単独衝突には余力なしか (毎日, 4/15)
イスラエルを支持しつつ、自制を求める バイデン米政権のジレンマ (毎日, 4/15)
イスラエル軍幹部、イランへの反撃明言 戦時内閣は結論出さず (毎日, 4/16)
イスラエル、全面戦争は回避の意向 イランに攻撃でも=報道 (ロイター, 4/16)。「イスラエルの民放テレビ局チャンネル12が情報源を明かさずに報じた」
》 ウクライナは今年、負けるかもしれないと英軍元司令官 それはどのように (BBC, 4/13)
》 北朝鮮IT労働者に関する企業等に対する注意喚起 (警察庁, 3/26)
【問合せ先】 北朝鮮IT労働者の関与が疑われる場合には、プラットフォームの管理責任者に相談するほか、関係機関に御相談ください。
・ 警察庁警備局外事情報部外事課 npa-gaiji-it-toiawase@npa.go.jp
・ 外務省北東アジア第二課 ahoku2-toiawase@mofa.go.jp
・ 財務省国際局調査課対外取引管理室 450062200000@mof.go.jp
・ 経済産業省商務情報政策局情報技術利用促進課 bzl-it-joho-toiawase@meti.go.jp
》 Windows 10 ESU を利用するタイミング (Windows Blog, 4/3)
JVN#58236836 バッファロー製無線LANルーターにおける複数の脆弱性 (JVN, 2024.04.15)
いずれも Priority: 3。
Security Updates Available for Adobe After Effects | APSB24-09 (Adobe, 2024.04.09)
Security update available for Adobe Photoshop | APSB24-16 (Adobe, 2024.04.09)
Security update available for Adobe Commerce | APSB24-18 (Adobe, 2024.04.09)
Security Update Available for Adobe InDesign | APSB24-20 (Adobe, 2024.04.09)
Security updates available for Adobe Experience Manager | APSB24-21 (Adobe, 2024.04.09)
Security Updates Available for Adobe Media Encoder | APSB24-23 (Adobe, 2024.04.09)
Security Updates Available for Adobe Bridge | APSB24-24 (Adobe, 2024.04.09)
Security Updates Available for Adobe Illustrator | APSB24-25 (Adobe, 2024.04.09)
Security updates available for Adobe Animate | APSB24-26 (Adobe, 2024.04.09)
FortiOS & FortiProxy - administrator cookie leakage (Fortinet, 2024.04.09)
WordPress 6.5.2セキュリティリリース (WordPress, 2024.04.10)
》 HOYA、めがねレンズの出荷を一部再開 不正アクセスによるシステム障害から「一部が回復」 (ITmedia, 4/12)
》 読売新聞とNTTが生成AIのあり方に関する共同提言を発表 (NTT, 4/8)。結論だけポコッと出されてもなあ。どのような体制でどのような検討がなされ何故この結論となったたのか、さっぱりわからない。
生成AIのガバナンスのあるべき姿についての共同検討を2023年の秋に開始し
検討期間の記述が雑なのも気になるし、
事務局:慶應義塾大学サイバー文明研究センター(山本龍彦、クロサカタツヤ)
提言の最後に何の説明もなく慶應が出てくるのも気になる。 「生成 AI のあり方に関する共同提言」に参画 (KGRI, 4/9) には「共同検討を支援し」「共同提言」に参画」とあるが、 慶應の関与はどの程度なのか。 はたして「読売新聞とNTTの共同提言」と本当に言えるのか。
》 封印された極秘資料入手!「デュポン・ファイル」が明かす地下水汚染・大気汚染・体内汚染の実態【大型スクープ連載開始】 (諸永裕司 / SlowNews, 4/2)。三井・デュポンフロロケミカル (現:三井・ケマーズフロロプロダクツ) 清水工場の PFAS 汚染。
幹部たちは2000年代に入って「対策をとってきた」と強調するが、逆に言えば、それ以前は汚染物質が垂れ流されていたのだ。一度汚染されれば、除去するのは容易ではない。「デュポン・ファイル」からは、そうした実態を示す資料やデータが次々と見つかった。
》 Windows11のスタートメニューに広告表示。Microsoftが実験開始 (ニッチなPCゲーマーの環境構築Z, 4/15)。いちおう「オフにする手段がある」そうです。
》 Windows10にWindows11への移行を促す全画面ポップアップが表示。「嫌がらせ」と報じられる (ニッチなPCゲーマーの環境構築Z, 4/12)
Palo Alto Networks PAN-OS 10.2 / 11.0 / 11.1 系列に 0-day 欠陥。 GlobalProtect gateway および/または GlobalProtect portal が有効で、かつ device telemetry が有効な場合に、remote から無認証で任意のコードをファイアウォールの root 権限で実行できる。 CVE-2024-3400。 この欠陥は Cloud NGFW、Panorama アプライアンス、Prisma Access には影響しない。
JPCERT/CC の Palo Alto Networks社製PAN-OS GlobalProtectのOSコマンドインジェクションの脆弱性(CVE-2024-3400)に関する注意喚起 (JPCERT/CC, 2024.04.15) によると、device telemetry は対象 OS のほとんどのバージョンでデフォルト有効となっている模様。
Palo Alto Networksのページによると、下記バージョンではデバイステレメトリ機能がデフォルトで有効とのことです。
(デバイステレメトリ機能がデフォルトで有効であるPAN-OSのバージョン)
- PAN-OS 11.0系、11.1系:11.0.1およびそれ以降のバージョン
- PAN-OS 10.2系:10.2.4およびそれ以降のバージョン
Palo Alto Networks
Device Telemetry Overview
(PAN-OS 11.1)
https://docs.paloaltonetworks.com/pan-os/11-1/pan-os-admin/device-telemetry/device-telemetry-overview
(PAN-OS 11.0)
https://docs.paloaltonetworks.com/pan-os/11-0/pan-os-admin/device-telemetry/device-telemetry-overview
(PAN-OS 10.2)
https://docs.paloaltonetworks.com/pan-os/10-2/pan-os-admin/device-telemetry/device-telemetry-overview
緩和策としては、Threat Prevention サブスクリプション加入者には Threat ID 95187 を使って抑止することが推奨されている。 非加入の場合は、 device telemetry を無効にすることで抑止できる。
修正版 PAN-OS も一部リリースし始められており、今週中にはリリースされる模様。
関連:
Zero-Day Exploitation of Unauthenticated Remote Code Execution Vulnerability in GlobalProtect (CVE-2024-3400) (volexity, 2024.04.12)。震源地。
Threat Brief: Operation MidnightEclipse, Post-Exploitation Activity Related to CVE-2024-3400 (Palo Alto Networks Unit 42, 2024.04.12)
PAN-OS GlobalProtect の脆弱性 CVE-2024-3400 についてまとめてみた (piyolog, 2024.04.15)
》 Microsoftの元開発者がWindows11に苦言。「スタートメニューは滑稽なほどひどい」 (ニッチなPCゲーマーの環境構築Z, 4/12)
》 Apple EU圏内で代替アプリストア利用可能に (Kaspersky, 3/28)
重要なのは、Appleが無秩序な状態を防ごうとしていることです。アプリのマーケットプレイスを登録するには、開発者は審査を通過し、100万ユーロのスタンドバイ信用状を提出する必要があります。同一のアプリの異なるバージョンをApp Storeと代替ストアの両方にアップロードすることは禁止されています。開発者がどのストアでもアプリを公開したい場合は、同一のものでなければなりません。最後に、すべてのアプリはAppleの「公証」を取得する必要があります。このプロセスとmacOSの公証の同一性が証明された場合、Appleは手動でレビューするのではなく、マルウェアの自動スキャンを実行し、特定の技術的推奨事項への準拠をチェックすることになるでしょう。
》 ランサムウェア攻撃事案から見る、ファーストレスポンダー同士の情報共有が必要な理由 (JPCERT/CC, 3/26)
》 制御システムセキュリティカンファレンス 2024 開催レポート (JPCERT/CC, 3/14)
》 「制御系SIRTの機能を備えるための手引き」(CSIRTマテリアル補完資料) (JPCERT/CC, 3/27)
》 「大谷選手は被害者」と米連邦検察 口座ひも付けの電話番号・メールアドレスが水原氏に変更されていた (ITmedia, 4/12)。腹黒通訳が言語障壁をさんざん悪用と。 悪意ある proxy の恐さよ。
口座は18年に開設しており、水原氏は英語が話せない大谷選手とアリゾナ州の銀行支店に同行。年俸を受け取るための口座開設を手伝っており、口座に関する詳細設定も通訳していた。「開設した口座にアクセスできた」(エストラーダ連邦検事)という水原氏は、日本語が話せない大谷選手の会計士や財務顧問などに対し、大谷選手の意向であるかのように、この口座にアクセスしないように伝えたとされる。
宣誓供述書によると、水原氏は21年9月に違法なスポーツブックでギャンブルを始め、数カ月後には多額の損失を出し始めたという。この間、大谷選手の銀行口座の連絡先情報が変更され、その口座が水原氏の電話番号と水原氏につながる匿名のメールアドレスにリンクされたとされる。これは、二段階認証などの本人確認も水原氏に届いていたものと考えられる。
また水原氏は、銀行に大谷選手であると偽って電話をかけ、行員をだまして大谷選手の銀行口座から違法賭博行為の関係者への電信送金を指示したという。なお、ギャンブルで勝った時の賞金は、大谷選手の口座ではなく水原氏自身の口座に送金していたとされている。
元ねた: Japanese-Language Translator Charged in Complaint with Illegally Transferring More Than $16 Million from Baseball Player’s Account (justice.gov, 4/11)。justice.gov からプレスリリースが出るような案件なんだなあ。 DeepL 訳:
水原一平容疑者(39歳、ニューポートビーチ在住)は、銀行詐欺で起訴されており、最高刑は連邦刑務所30年の重罪である。
(中略)
先週の警察とのインタビューで、大谷は水原の電信送金の許可を否定した。大谷は自分の携帯電話を警察当局に提供したが、警察当局は、大谷が水原の違法賭博行為や借金の支払いに気づいていた、あるいは関与していたことを示唆する証拠はないと判断した。
当該携帯電話は当然フォレンジック解析されたのだろうが、その結果はシロと。
》 ロシア企業からの支払い、中国が精査厳格化か 電子部品に影響 (ロイター, 4/12)
》 Apple の脅威の通知と金銭目当てのスパイウェアへの対策について (Apple, 4/10)。誤訳がひどい。
市民社会組織、テクノロジー企業、ジャーナリストによる公的報告や研究によると、このように莫大なコストをかけ複雑で個人を標的とした攻撃は、歴史的に国家主体と結び付けられてきました (NSO Group 社の Pegasus のように、国家主体に代わって金銭目的のスパイウェアを開発する民間企業も含む)。
Pegasus は「金銭目的の」スパイウェアじゃないし、そもそも「金銭目的のスパイウェア」って何だ?
なんじゃこりゃと思って英語版を見ると、 About Apple threat notifications and protecting against mercenary spyware (Apple, 4/10) である。金銭目的のスパイウェアじゃなくて mercenary spyware = 傭兵スパイウェア。 Apple の翻訳チームは何をやっているんだ。 これでも見て勉強してくれ: Mercenary spyware: Defending against what's next Ι 2023 (incubator for Media Education & Development / YouTube)
この誤訳は昨日今日はじまったものではない模様:
Apple、金銭目当ての高度な標的型スパイウェアからユーザーを保護するための業界をリードする取り組みを拡大 (Apple, 2022.07.06)
Apple expands industry-leading commitment to protect users from highly targeted mercenary spyware (Apple, 2022.07.06)
関連:
Apple Warns Top Indian Opposition Leaders, Journalists About ‘State-Sponsored’ Attack on Phone (THE WIRE, 2023.10.31)
Exclusive: Apple warns users of "mercenary spyware" attack; India, 91 other countries impacted (Economic Times, 4/12)
Apple Warns Users In 92 Countries They May Have Been Targeted By Mercenary Spyware Attacks (Forbes, 4/11)
》 「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン【別冊:スマート化を進める上でのポイント】」を策定しました (経産省, 4/4)
》 ChromeやEdgeに市松模様が表示される不具合を回避する方法。GeForce環境で発生する異常表示 [Update 2: 現状についてMicrosoftがコメント] (ニッチなPCゲーマーの環境構築Z, 4/11)
》 Intel、Wi-Fiドライバ23.40.0を公開。ブルースクリーンエラー(BSoD)の不具合を再度修正 (ニッチなPCゲーマーの環境構築Z, 4/11)
Western Digital、HDDを値上げ (ニッチなPCゲーマーの環境構築Z, 4/10)。5〜10%?
GeForce RTX 4000シリーズ等の仕切り価格が値上げ (ニッチなPCゲーマーの環境構築Z, 4/9)
Micron、メモリとSSD価格を大幅に値上げ。2024年第2四半期中に (ニッチなPCゲーマーの環境構築Z, 4/9)。25% 以上?!
》 プルデンシャル生命保険で個人情報不正持ち出し 元社員が転職先で営業活動に利用 (ITmedia, 4/11)、 当社元社員によるお客さまの個人情報の漏えいに関するお詫びとお知らせ (プルデンシャル生命保険, 4/9)
》 iPhoneやApple Watchを襲う「MFA爆弾」相次ぐ パスワードリセット通知を大量送付、乗っ取りを狙う (ITmedia, 4/12)。MFA = 多要素認証。
攻撃者の狙いは、ワンタイムパスワードを含むApple IDのリセットコードをユーザーの端末に送信させ、そのコードを提供させることにある。攻撃者がこれを使えばパスワードをリセットしてそのユーザーのアカウントから本人を締め出すことができ、遠隔操作でそのユーザーのApple端末を全て消去することも可能になる。
あぁ、これ一連のものだったのですね。 詳細: HTTP/2 CONTINUATION Flood: Technical Details (nowotarski.info, 2024.04.03)
Chrome 123.0.6312.122/.123 (Windows) 123.0.6312.122/.123/.124 (Mac) 123.0.6312.122 (Linux) 公開。3 件のセキュリティ修正を含む。関連:
Chrome for Android Update (Google, 2024.04.10)。Chrome 123 (123.0.6312.118) for Android。
関連:
「Microsoft Edge」にセキュリティ更新 ~「Angle」のヒープバッファーオーバーフローなど v123.0.2420.97への更新を (窓の杜, 2024.04.15)
》 【単独取材】ジャニーズ解体のその後……SMILE-UP. 東山社長、BBCの多数の質問に答える (BBC, 3/30)
》 Toward greater transparency: Adopting the CWE standard for Microsoft CVEs (MSRC, 4/8)
2024.04.16 追記: Microsoft、セキュリティレポートに「CWE」標準を採用、脆弱性のタイプを分類して表示 (窓の杜, 4/16)
》 TOMOYO/AKARI/CaitSith プロジェクトを SourceForge.net へ引っ越しました (熊猫さくらのブログ, 4/1)
》 さくらインターネットのASNで重大なマルウェア活動を確認 HYAS Infosec調査 (ITmedia, 4/4)。 HYAS Threat Intel Report April 1 2024 (HYAS, 4/1) で Summary of Top ASNs and Malware Origins として挙げられている 4 つの AS に さくらが含まれているという話。
HYAS Report では AS216309 については詳細な記述があるが、 AS7684 については簡便に記されているだけ。
AS7684 が特出しされていることに関して、何を見ると検証できるんだろう。たとえばこういうの?
Overview for AS7684 SAKURA-A (cloudflare radar)
Overview for AS131965 XSERVER (cloudflare radar)
Overview for AS4713 OCN (cloudflare radar)
Overview for AS2497 IIJ (cloudflare radar)
Overview for AS2527 So-net (cloudflare radar)
Overview for AS9605 docomo (cloudflare radar)
Overview for AS2907 SINET-AS (cloudflare radar)
spam だとこんな感じなのだけど。
AS7684 SAKURA Internet Inc. (CleanTalk)
AS131965 Xserver Inc. (CleanTalk)
AS4713 NTT Communications Corporation (CleanTalk)。「SPAM active IP addresses」という、さくらや Xserver には存在しない項が登場している。
AS2497 Internet Initiative Japan Inc. (CleanTalk)
AS2527 Sony Network Communications Inc. (CleanTalk)。「SPAM active IP addresses」あり。
AS9605 NTT DOCOMO, INC. (CleanTalk)。「SPAM active IP addresses」あり。
AS2907 Research Organization of Information and Systems, National Institute of Informatics (CleanTalk)
Microsoft 2024.04 patch 出ました。 149 MS CVE + 6 non-MS CVE (Intel x 1, lenovo x 2, Crome x 3)。 CVE 番号が太字なのは critical (最大深刻度: 緊急) 扱い。
- .NET と Visual Studio CVE-2024-21409
- Azure CVE-2024-29993
- Azure AI 検索 CVE-2024-29063
- Azure Arc CVE-2024-28917
- Azure Compute Gallery CVE-2024-21424
- Azure Migrate CVE-2024-26193
- Azure Monitor CVE-2024-29989
- Azure Private 5G Core CVE-2024-20685
- Azure SDK CVE-2024-29992
- Intel CVE-2022-0001
- Microsoft Azure Kubernetes Service CVE-2024-29990
- Microsoft Brokering File System CVE-2024-26213 CVE-2024-28904 CVE-2024-28905 CVE-2024-28907
- Microsoft Defender for IoT CVE-2024-21322 CVE-2024-21323 CVE-2024-21324 CVE-2024-29053 CVE-2024-29054 CVE-2024-29055
- Microsoft Edge (Chromium ベース) CVE-2024-29049 CVE-2024-29981 CVE-2024-3156 CVE-2024-3158 CVE-2024-3159
- Microsoft Office Excel CVE-2024-26257
- Microsoft Office Outlook CVE-2024-20670
- Microsoft Office SharePoint CVE-2024-26251
- Microsoft WDAC ODBC ドライバー CVE-2024-26214
- Microsoft インストール サービス CVE-2024-26158
- SQL Server CVE-2024-28906 CVE-2024-28908 CVE-2024-28909 CVE-2024-28910 CVE-2024-28911 CVE-2024-28912 CVE-2024-28913 CVE-2024-28914 CVE-2024-28915 CVE-2024-28926 CVE-2024-28927 CVE-2024-28929 CVE-2024-28930 CVE-2024-28931 CVE-2024-28932 CVE-2024-28933 CVE-2024-28934 CVE-2024-28935 CVE-2024-28936 CVE-2024-28937 CVE-2024-28938 CVE-2024-28939 CVE-2024-28940 CVE-2024-28941 CVE-2024-28942 CVE-2024-28943 CVE-2024-28944 CVE-2024-28945 CVE-2024-29043 CVE-2024-29044 CVE-2024-29045 CVE-2024-29046 CVE-2024-29047 CVE-2024-29048 CVE-2024-29982 CVE-2024-29983 CVE-2024-29984 CVE-2024-29985
- SQL 用 Microsoft WDAC OLE DB プロバイダー CVE-2024-26210 CVE-2024-26244
- Windows BitLocker CVE-2024-20665
- Windows Cryptographic サービス CVE-2024-26228 CVE-2024-29050
- Windows Defender Credential Guard CVE-2024-26237
- Windows DHCP サーバー CVE-2024-26195 CVE-2024-26202 CVE-2024-26212 CVE-2024-26215
- Windows DWM Core ライブラリ CVE-2024-26172
- Windows HTTP.sys CVE-2024-26219
- Windows Kerberos CVE-2024-26183 CVE-2024-26248
- Windows Remote Access Connection Manager CVE-2024-26207 CVE-2024-26211 CVE-2024-26217 CVE-2024-26230 CVE-2024-26239 CVE-2024-26255 CVE-2024-28900 CVE-2024-28901 CVE-2024-28902
- Windows Storage CVE-2024-29052
- Windows Telephony Server CVE-2024-26242
- Windows Update Stack CVE-2024-26235 CVE-2024-26236
- Windows USB プリント ドライバー CVE-2024-26243
- Windows Virtual Machine Bus CVE-2024-26254
- Windows Win32K - ICOMP CVE-2024-26241
- Windows インターネット接続の共有 (ICS) CVE-2024-26252 CVE-2024-26253
- Windows カーネル CVE-2024-20693 CVE-2024-26218 CVE-2024-26229 CVE-2024-26245
- Windows セキュア ブート CVE-2024-20669 CVE-2024-20688 CVE-2024-20689 CVE-2024-23593 CVE-2024-23594 CVE-2024-26168 CVE-2024-26171 CVE-2024-26175 CVE-2024-26180 CVE-2024-26189 CVE-2024-26194 CVE-2024-26240 CVE-2024-26250 CVE-2024-28896 CVE-2024-28897 CVE-2024-28898 CVE-2024-28903 CVE-2024-28919 CVE-2024-28920 CVE-2024-28921 CVE-2024-28922 CVE-2024-28923 CVE-2024-28924 CVE-2024-28925 CVE-2024-29061 CVE-2024-29062
- Windows ファイル サーバー リソース管理サービス CVE-2024-26216
- Windows プロキシ ドライバー CVE-2024-26234
- Windows メッセージ キュー CVE-2024-26208 CVE-2024-26232
- Windows モバイル ホットスポット CVE-2024-26220
- Windows リモート プロシージャ コール CVE-2024-20678
- Windows ルーティングとリモート アクセス サービス (RRAS) CVE-2024-26179 CVE-2024-26200 CVE-2024-26205
- Windows ローカル セキュリティ機関サブシステム サービス (LSASS) CVE-2024-26209
- Windows 圧縮フォルダー CVE-2024-26256
- Windows 認証方法 CVE-2024-21447 CVE-2024-29056
- Windows 分散ファイル システム (DFS) CVE-2024-26226 CVE-2024-29066
- インターネット ショートカット ファイル CVE-2024-29988
- ロール: DNS サーバー CVE-2024-26221 CVE-2024-26222 CVE-2024-26223 CVE-2024-26224 CVE-2024-26227 CVE-2024-26231 CVE-2024-26233
- ロール: Windows Hyper-V CVE-2024-29064
0-day はこちら:
プロキシ ドライバ スプーフィングの脆弱性 CVE-2024-26234 (Microsoft, 2024.04.09)
patch を当てただけでは適用されない件:
KB5025885: CVE-2023-24932 に関連付けられているセキュア ブートの変更に対する Windows ブート マネージャー失効を管理する方法 (Microsoft)。現在は 3 番目の展開フェーズ。
2024 年 4 月 9 日以降 - 3 番目の展開フェーズ:
脆弱なブート マネージャーをブロックするための新しい軽減策。 これらの新しい軽減策では、メディアを更新する必要があります。
強制適用されるのは 2024.10.08。
KB5037754: CVE-2024-26248 および CVE-2024-29056 に関連する PAC 検証の変更を管理する方法 (Microsoft)。 英語版の方がわかりやすい。
- April 9, 2024: Initial Deployment Phase – Compatibility Mode
- October 15, 2024: Enforced by Default Phase
- April 8, 2025: Enforcement Phase
2024.04.09 (現在) は初期展開フェーズで HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters の PacSignatureValidationLevel = 2、 CrossDomainFilteringLevel = 2。 この状態では脆弱性対策機能は有効にはならない。 PacSignatureValidationLevel = 3、 CrossDomainFilteringLevel = 4 に変更すると有効になる。
2024.10.15 にデフォルト適用フェーズとなり PacSignatureValidationLevel = 3、 CrossDomainFilteringLevel = 4 に変更されるが、 管理者が PacSignatureValidationLevel = 2、 CrossDomainFilteringLevel = 2 に戻すことも可能。
2025.04.08 に強制適用フェーズとなり、このレジストリ設定への対応機能が削除され、 脆弱性対策機能を回避できなくなる。
CVE-2022-0001 (Microsoft, 2024.04.09)。 CVE-2022-0001 は Branch History Injection (BHI) の件だが、 新たな攻撃 Native Branch History Injection (Native BHI) (CVE-2024-2201) の登場にあわせてこの文書が作成された模様。 CVE-2024-2201 は eBPF を通さないので Native ということみたい。 CVE-2024-2201 の詳細は Inspecting the Residual Attack Surface of Cross-privilege Spectre v2 (vusec.net) を参照。
適用するにはレジストリ設定が必要。 CVE-2022-0001 を参照。
不具合情報:
【Windows11】 WindowsUpdate 2024年4月 不具合情報 - セキュリティ更新プログラム KB5036893 (ニッチなPCゲーマーの環境構築Z, 2024.04.10)
【Windows10】 WindowsUpdate 2024年4月 不具合情報 - セキュリティ更新プログラム KB5036892 (ニッチなPCゲーマーの環境構築Z, 2024.04.10)
今のところ、大物は無いみたい。
》 GPIO番号に互換性がない? 「Raspberry Pi 5」と前モデルを比較してみた (日経 xTECH, 4/10)
/sys/class/gpio配下のファイルを操作してGPIOを制御するインターフェースは「GPIO sysfs」インターフェースと呼ばれている。実はこの慣れ親しまれてきたGPIO sysfsインターフェースは廃止予定となっており、GPIOはキャラクターデバイスとしてアクセスすることが推奨されている。 (中略) 旧来のGPIO sysfsインターフェースの利用が混乱のもとになっているということだ。混乱を避けるためにも、可能なら今後はGPIO sysfsインターフェースの利用を避けたほうが良いだろう。
》 The Black Market That Delivers Elon Musk’s Starlink to U.S. Foes (Wall Street Journal, 4/9) DeepL 訳:
ジャーナル紙の調査によると、アフリカ、東南アジア、アラブ首長国連邦での裏取引によって、Starlinkハードウェアの影のサプライチェーンが存在し、何千台もの白いピザ箱サイズのデバイスが、アメリカの敵対勢力や告発された戦争犯罪者の手に渡っている。これらのエンドユーザーの多くは、Starlinkが許可されている国で販売店がハードウェアを登録した後、Starlinkのローム機能を使って衛星に接続する。
えっ?! そんな手順で利用できちゃうの?!
》 OpenSSL version 3.3.0 published (OpenSSL, 2024.04.09)。 iida さん情報ありがとうございます。
Fwd: X.Org Security Advisory: Issues in X.Org X server prior to 21.1.12 and Xwayland prior to 23.2.5 (oss-sec ML, 2024.04.03)
Envoy security releases [1.29.3, 1.28.2, 1.27.4, 1.26.8] are now available (oss-sec ML, 2024.04.05)。Envoy は L7 proxy and communication bus だそうです。
CVE-2024-24576: Rust 1.77.1 and earlier did not properly escape arguments of batch files on Windows (oss-sec ML, 2024.04.09)
Go 1.22.2 and 1.21.9 (CVE-2023-45288 HTTP/2 CONTINUATION issue) (oss-sec ML, 2024.04.05)
「Aterm」シリーズのWi-Fiルーターなど59製品に複数の脆弱性。対策や買い替えの検討を (Internet Watch, 2024.04.09)
次の2製品については、悪意ある第三者が製品にアクセスした場合に、telnet経由で任意のコマンドが実行される可能性、および、任意のコマンドが実行されたり、装置名などの装置情報が読み取られる可能性があるとして、管理者パスワードの変更と、Wi-Fiネットワーク側のセキュリティ強化を行うようにとしている。次の8製品については、サポートが終了しているため、買い替えの検討を推奨している。
- WG1810HP(JE)
- WG1810HP(MF)
- WM3400RN
- WM3450RN
- WM3500R
- WM3600R
- WM3800R
- WR8166N
- MR01LN
- MR02LN
OpenSSL Security Advisory [8th April 2024] Unbounded memory growth with session handling in TLSv1.3 (CVE-2024-2511) (OpenSSL, 2024.04.08)。 OpenSSL 3.2 / 3.1 / 3.0 / 1.1.1 に影響、1.0.2 には影響なし。 Severity: Low なので、次リリース時に修正。
iida さん情報ありがとうございます。
》 Microsoft、中国のAIによる選挙操作を具体例で再警告 (ITmedia, 4/7)
》 署名「画像生成AIからクリエイターを守ろう」が賛同1万件間近に 「AI生成物のみ非親告罪に」などを主張 (ITmedia, 4/8)
》 IPA、情報セキュリティを学べる合宿開催 小学生~大学院生対象、参加費は無料 (ITmedia, 4/8)。「セキュリティ・キャンプ2024 全国大会/ネクスト/ジュニア」。
》 Visa/Masterカードの決済停止、成人アニメ老舗ブランドの公式サイトも (ITmedia, 4/8)。PinkPineapple。 こちらも JCB 推奨となっている。
》 Windows、外部ツールを使った標準Webブラウザの変更をドライバで阻止か (PC Watch, 4/8)
デフォルトWebブラウザの変更に対応するレジストリキーに書き込みを行なうとアクセスが拒否され、regedit、reg.exe、PowerShellでも変更ができない (中略) Windows上のドライバを調べたところ、プロパティに「UserChoice Protection Driver」と記載のある「USPD.sys」というドライバが見つかった。これを逆アセンブルしたところ、レジストリキーの変更に関するホワイトリストとブラックリストにあたるものが含まれていた。2月の更新で導入されたもので、http、httpsのプロトコルのほかにも、.pdfの関連付けの変更もブロックしていたという。
UCPD.sys (上記 USPD.sys は誤記) はもちろん Microsoft 製。
元記事はこちら: UserChoice Protection Driver – UCPD.sys (THE KOLBICZ BLOG, 4/3)
Microsoft also updated the driver during my tests (from 2.0 to 2.1) and extended the deny list of executables. this means, they can change the behavior almost on the fly and add new tricks or block additional extensions/protocols!
》 Windows 10の組織向け有償延長サポート、導入方法や料金が発表 (PC Watch, 4/5)。Windows 10 ESU の件。
従来の5-by-5アクティベーションキー(初年度で1デバイスあたり61ドル)、Windows 365サブスクリプションでのアクティベーション(初年度分はWindows 365利用料に含まれる)に加え、クラウドベースのアクティベーションの3種類が選べる。
円安のおかげで、ずいぶん高くなりそうですなあ……。
》 Windows 10で「Sysprep」コマンドが完了しない問題、ようやく解決へ 2023年11月末リリースの「KB5032278」以降で発生 (窓の杜, 4/8)
》 通園バスの安全装置設置100%達成見込み こども家庭庁が公表 (TBS, 4/5)。 置き去り防止支援装置の件。 2023.04 義務化・経過措置1年なので、当然といえば当然なのですが。
送迎用バスに対する安全装置の装備状況の調査結果について (こども家庭庁)
送迎用バスの置き去り防止を支援する安全装置のリストについて (こども家庭庁)。いろんな会社が出しています、が……
設置100%見込みはいいのですが、その装置本当に仕様を満足しているのですか問題というのがあるようで。
三菱ふそう、幼児置き去り防止装置の開発中断 ガイドラインへの適合難しく 自動車メーカーも温度条件がネック (日刊自動車新聞, 2023.02.15)。自動車メーカーがさじを投げるような厳しい仕様。 ってどういうこと?
送迎用バスの置き去り防止を支援する安全装置の ガイドライン (国土交通省, 2022.12.20)
4.9. 置き去り防止を支援する装置は、-30℃~65℃(ダッシュボード等の直射日光の当 たる位置に取り付けるものにあっては、-30℃~85℃)の温度条件下において正常 に作動するものでなければならない。
動作時温度 -30℃~65℃。
幼児置き去り防止装置、認定品の一部でガイドラインを満たさない部品を使用 製品テストは「問題なし」だが メーカー頼りの側面も (日刊自動車新聞, 2023.07.05)。
話題になった製品(メーカーをA社とする)に使われていた、ある部品の使用可能な温度範囲は「マイナス10度~同50度」。この部品は大手メーカー製の汎用品で、性能は同社のHPでも公表している。A社のHPに掲載されている製品写真の中に、この部品が確認できる。一見してガイドラインを満たしていない部品があったため、疑問に思った関係者が多かったのだ。
日刊自動車新聞が政府側に取材すると、「そういう部品があっても、商品全体として稼働テストをして問題がなければそれでいい」ということだった。A社もこうした見解に基づき、自社で稼働テストを実施。無事に作動が確認できたため、文書を提出して政府も認定した。A社側は、政府が定めたルールに違反はしていないことが分かる。
ふつうに考えたら、駄目でしょそれじゃ。 保温装置を付加するとかしてあるなら別かもだけど、多分そうじゃないのだろうし。
〈記者の目〉
政府のガイドラインで、必要な試験の条件を定めるべきだった。
ですよねえ。
幼児置き去り防止装置のガイドライン 東京大学・畑村洋太郎名誉教授「基準が不明瞭 政府側の問題」 (日刊自動車新聞, 2023.07.05)。失敗学の畑村先生に取材。
幼児置き去り防止装置の基準について、2022年末に政府はきちんとガイドラインの基準をまとめた。この装置はいろんな部品を使うが、採用する部品全部についてガイドラインの基準をクリアするのが条件だということを文書に盛り込むなど明確にするべきだった。
今回は、幼児置き去り防止装置を造った会社が、検査データを文書でまとめて、国土交通省所管法人が「原則書面審査」で審査した。合格すると政府認定として内閣府(現在はこども家庭庁)のホームページに掲載される。安全性を考えると、書面審査だけではなく、第三者が実証実験を行うのが望ましい。造った人が検査(テスト)をしても意味がない。
》 [gnutls-help] gnutls 3.8.5 (GNU, 4/4)。セキュリティ修正は無いようです。iida さん情報ありがとうございます。
》 HOYA、大規模システム障害の原因がサイバー攻撃であることを認める (4/4)
当社グループにおけるシステム障害について (HOYA, 4/4)
外部の専門家を交えた調査の結果によれば、本件は第 三者による当社サーバーへの不正アクセスに起因する可能性が高いとみられています。 (中略) 当社が保有する機密情報や個⼈情報の外部流出の可能性について調査を進めて いますが、解析には相当の日数を要する見込みです。
HOYAがサイバー攻撃で3度目の被害、「犯人」はダークウェブで犯行を公表 (山田 敏弘 / JBpress, 4/6)
今回の攻撃は、ランサムウェア攻撃だと考えられる。というのも、「Hunters International」というサイバー犯罪グループが、「HOYA Corporation」への攻撃に関わっていることを関係者向けに明らかにしていたからだ。(中略) 今回のHOYAへのサイバー攻撃も、Hunters Internationalがランサムウェアを開発し、それを使ったアフィリエイトが攻撃の実働部隊になっているようだ。
》 ネット犯罪の通報は88万件超で前回調査から増加、米IC3が最新版レポートを公開 (Internet Watch, 4/4)
日本テレビ定例社長会見 (3/25)
2024年3月25日 日本テレビ 定例記者会見 《 要旨 》 (日テレ, 3/25)
日テレ「セクシー田中さん」調査に言及「ヒアリング進めている」結果公表は「GW明けが目安」 (スポニチ / 毎日, 3/25)
論点 「セクシー田中さん」問題 (毎日, 3/29)。里中満智子、福井健策、田淵俊彦。
「セクシー田中さん」問題、東村アキコさんはどう見た? 原作者が「どうぞお好きに」ではダメな理由 (東京, 4/6)
韓国で漫画「私のことを憶(おぼ)えていますか」をドラマ化した際、韓国から脚本家が4人来て4時間缶詰めにされた。原作にびっしり付箋が付いており、せりふの1行1行を「この時のこのキャラクターの気持ちは?」「どういう背景事情があるのか」など、自分でも思い出すのに苦労するくらい突っ込みがすごかった。
「好きにやっていいですよ」と言うと、韓国の脚本家から「何を言ってるんですか!」と怒られ、「先生そんなんじゃ駄目です。先生の世界観、思いをしっかり反映したいんです」と徹底的に意見を聞かれた。韓国は、それだけ原作へのリスペクトがあり、原作者の意向をいかに忠実に映画やドラマに反映するかへの思いも強かった。
映画やドラマに対する人や時間やお金のかけ方が日本と違う。韓国では、脚本はまず4話まで先に作り、そこから例えばネットフリックスなのか、テレビなのか、映画なのかが決まり、座組や役者を決めていく。
日本だと視聴率を取るために先に役者を決めていたりする。だから何に重きを置くのかの意識が全然違う、韓国のドラマや映画への取り組みを肌で知り、私ももう少し本気で映画やドラマに向き合ってみようと考えるようになった。韓国の現場を見て、真面目にガチンコで関わらないと良いものはできないと学んだ。
韓国の人は、寝る間を惜しんでひるむことなく、原作者に向かってくる。学んだことが大きかった。
こういうのが日本でもふつうになってほしいなあ。
「日テレ×小学館、チーフプロデューサーは「セクシー田中さん」三上絵里子」のドラマ「たーたん」は制作中止。代替ドラマの主役は“困ったらジャニーズ”。
ムロツヨシ主演の日テレドラマ「たーたん」が制作中止 プロデューサーが「今はできない。別の企画をやりましょう」《「セクシー田中さん」チーム“再タッグ”だったが…》 (文春オンライン, 2/21)
急転直下、放送自体がなくなってしまった「たーたん」だが、実はその裏では、ドラマ版の脚本をめぐり、「セクシー田中さん」の前轍を踏みかねない“未遂事件”があった——。
「原作のストーリーを脚本で“改変”していたことが分かったのです」(前出・ドラマ制作スタッフ)
《説明会音声入手》日テレドラマ「たーたん」スタッフに伝えられた“制作中止の理由”と、プロデューサーが滲ませていた“不信感”「普通じゃない状況のことを出版社の小学館さんに言われて」「悔しい気持ちでいっぱいで」 (文春オンライン, 2/22)
「俳優陣はそのまま」だったが…4月スタート《日本テレビ「たーたん」代替ドラマ》からムロツヨシが出演を辞退していた! (文春オンライン, 3/12)
【たーたん騒動】スト森本慎太郎主演の急ごしらえで思い出す「西内まりやの月9」 (日刊サイゾー, 3/22)
日テレ SixTONES森本ドラマ主演 旧ジャニ起用「改革に進捗」セクシー田中さん問題で調整枠で… (スポニチ / 毎日, 3/25)
テレビ業界の“困ったらジャニーズ”体質は変わらず ムロツヨシ緊急降板『たーたん』の代役がSixTONES森本慎太郎『街並み照らすヤツら』に決定 (週刊実話WEB, 3/26)
》 リニア計画 静岡以外も「延び延び」でした JR東海、山梨県駅完成が「2031年の見通し」初告白 (東京, 4/6)。事ここに至ってようやく認めたと。
27年開業を前提としたまちづくりが進む中での工期見直し。もっと早く公表はできなかったのか。リニアを取材するジャーナリストの樫田秀樹氏は「工期が遅れれば、工費は膨張する。JRはとっくの昔に把握していたはずなのに、ずっと『静岡のせいだ』と言い続けてきた」と批判する。
他にも未契約・未着工の工区、沿線住民が起こした差し止め訴訟、トラブルによる工事中断などの不安要素があるとし「先送りが重なれば、整備を終えた新駅周辺の民間投資に悪影響を及ぼす。閑古鳥が鳴く事態になるのでは」と懸念する。
中間駅周辺自治体に大打撃の可能性。関連:
開業は早くても10年遅れの2037年!? リニア新幹線建設の悲惨な現状!! (樫田秀樹 / 週プレNEWS, 3/28)。用地買収未了とな?!
例えば、神奈川県相模原市に建設予定の「リニア車両基地」は工期11年の計画だが、用地買収が未完で未着工だ。今年着工しても完成は35年。加えて、鉄道施設は完成後も電気調整試験や車両の走行実験に約2年をかけるから(本稿ではこの工程を便宜上「工期A」と呼ぶ)、開業は37年。実に10年遅れとなる。
リニアトンネル工事の公式進捗は品川124m、愛知40cm (はてな匿名ダイアリー, 3/30)。すさまじい。
》 “逆ギレ”辞意表明の静岡県・川勝知事「6月辞職」の狡猾…敵対自民に「後継」渡さない魂胆 (日刊ゲンダイ, 4/4)。 まあ、これ を見る限りでは逆ギレに見えますけどね。
小林製薬「紅麹」、食品1800社に影響の可能性 関連製品の流通・販売は全国3.3万社 TDB推計 (TDB / PRTIMES, 3/29)
》 米陸軍のタイフォン・システム、訓練目的で一時的に日本へ移送される可能性 (航空万能論 GF, 4/4)。アドバルーンかましてきましたね。
》 デンマーク海軍のフリゲート艦、派遣された紅海の作戦中に欠陥が露呈 (航空万能論 GF, 4/3)。すさまじい。
イーヴァ・ヴィトフェルトは3月9日に15機の敵無人機を検出、直ぐに迎撃を試みたもののThales製レーダー(APAR)とTerma製戦闘管理システム(C-FLEX)の間で問題が生じ、乗組員は問題を解決しようと30分ほど格闘したがESSMを発射することができず、同艦の指揮官はESSMを諦めて76mm砲での迎撃に切り替えた。
しかし76mm砲で使用された砲弾も30年以上前のもので発砲した直後に爆発
ちょっと待って……。その 76mm、一度も実弾を撃ったことなかったの?
》 韓国のHanwha、米軍プログラムの元請け参加が可能なAustal買収に動く (航空万能論 GF, 4/3)
Hanwha Oceaはフィリー造船所の買収に動いていたため「米国内での商業船舶建造に投資する」と解釈されていたが、いきなり「国防総省のプログラムに元請けとして参加する資格をもつAustal買収」に動いたため、これが実現するとスピアヘッド級遠征高速輸送艦の建造、バージニア級原潜のコンポーネント製造、ヘリテージ級カッター建造に関わるAustal USAもHanwhaの所有になり、アジア市場で韓国勢のOPVと競合することが多かったAustalのOPVもHanwhaのものになる。
》 OpenBSD 7.5 Release Notes (OpenBSD, 4/5)
》 DLsite、Visa・Mastercardのクレカ利用を一時停止 期間については「回答を控える」【追記あり】 (ITmedia, 4/3)。あら結局 Visa / Master / Amex いずれも駄目になったのですか。 JCB だけ ok ですよと。 こんなこともあろうかと、 JCB なカードを 1 つは用意しないと駄目ですか。
Changes with Apache 2.4.59 (apache.org, 2024.04.04)。3 件のセキュリティ修正 (HTTP/2 DoS CVE-2024-27316, HTTP Response Splitting x 2 CVE-2024-24795 CVE-2023-38709) を含む。iida さん情報ありがとうございます。
Android セキュリティ情報 - 2024 年 4 月 (Android, 2024.04.01)。セキュリティ パッチ レベル 2024-04-01 と 2024-04-05 。
「Node.js」にセキュリティアップデート ~v21.7.2/v20.12.1/v18.20.1がリリース (窓の杜, 2024.04.04)。 CVE-2024-27982 CVE-2024-27983 を修正。
Chrome 123.0.6312.105/.106/.107 (Windows / Mac) および 123.0.6312.105 (Linux) 出てたんですね。 Pwn2Own 2024 の件含む 3 件のセキュリティ修正を含む。
脅威に関する情報: 複数の Linux ディストリビューションに影響を与える XZ Utils データ圧縮ライブラリーの脆弱性 (CVE-2024-3094) (2024.04.02)
FreeBSD は影響なしだそうです。
Disclosed backdoor in xz releases - FreeBSD not affected (freebsd-security ML, 2024.03.29)
The main, stable/14, and stable/13 branches do include the affected version (5.6.0), but the backdoor components were excluded from the vendor import. Additionally, FreeBSD does not use the upstream's build tooling, which was a required part of the attack. Lastly, the attack specifically targeted x86_64 Linux systems using glibc.
》 岡口基一判事を罷免とした弾劾裁判所の判決に反対する (なか2656のblog, 4/3)。なか2656さん情報ありがとうございます。
関連:
裁判官、罷免に慎重意見 識者「萎縮効果与える」―岡口判事弾劾 (時事, 4/3)
立命館大の市川正人特任教授(憲法)は「投稿の意図よりも遺族感情を傷つけたという結果を過大に重視した判断だ」と分析。裁判官としての威信を著しく失うほどの非行に当たるかの説明が尽くされておらず、「国会議員が胸三寸で裁判官を追放できることになってしまいかねない」と懸念を示した。
SNS投稿で「罷免」…法曹資格まで失うのは行き過ぎ? 岡口基一判事の弾劾裁判で課題が浮かんだ (東京, 4/4)
大阪経済法科大の渡辺康行教授(憲法学)は、訴追委も弾劾裁判所の裁判員も全員が国会議員であるため、「権限濫用(らんよう)や行き過ぎた判断に歯止めをかける仕組みが求められている」と強調する。裁判員は憲法で規定されているため、改正のハードルは高いが、一定数を法曹資格者とする要件を設けることは可能とみる。
裁判員に自民党の裏金議員や壷議員が含まれるような状況ですからねえ。
HOYAがシステム障害、外的要因による重大なインシデントで出荷に影響も (日経 xTECH, 4/1)
HOYAのシステム障害、他社レンズメーカーで納期の遅れが全国的に発生 (日経 xTECH, 4/4)
眼鏡レンズの注文受付停止が広がる HOYAでシステム障害発生、復旧の見通したたず長期化も (共同 / 日刊スポーツ, 4/4)
HOYAは、コンタクトレンズや半導体に電子回路を描く工程で使うガラス製品も製造しており、幅広い事業に影響が出る可能性がある。
ランサムウェア説:
(速報)HOYA、ランサムウェア被害か (Darkpedia / note, 4/3)。「脅威アクター:Hunters International」
Protection Highlight: Hunters International Ransomware (broadcom)
》 イスラエル国会、アルジャジーラ閉鎖の法案可決 (CNN, 4/2)。ファシスト国家らしさがさらに増加。
小林製薬は「いのち輝く」大阪万博メインパビリオンに5億円協賛…同社の対応は? (日刊ゲンダイ / Yahoo, 3/29)
大阪万博にイスラエル正式参加…「いのち輝く」理念から乖離も日本「NO」言えない情けなさ (日刊ゲンダイ, 4/2)。大阪万博のテーマは「いのち輝く未来社会のデザイン」ですからね! 現代社会じゃないからいいのかな?
ガザのシファ病院から発見され続ける遺体の数々。遺体の様子からも、イスラエル軍が足を縛って殺害したのは明らか。#StopGenocide https://t.co/oqdk2MzMTa
— 駐日パレスチナ常駐総代表部 (@PalestineEmb) April 2, 2024
関連: シファ病院からイスラエル軍撤収、攻撃の跡はさながら「ホラー映画」 (CNN, 4/2)
大阪万博「玉川徹氏は禁止」…吉村府知事オラオラ発言で大炎上→詭弁屁理屈で釈明の何サマ (日刊ゲンダイ, 4/3)
メタンガス爆発の件:
【万博工事で事故】たまった可燃性ガスに引火 トイレ床100平米が破損 夢洲の地下にはメタンガスが (FNN, 3/29)
博覧会協会によると、事故があったのは、万博会場の北西にある緑地エリア、「グリーンワールド(GW)」工区です。このエリアは元々、産業廃棄物の処分場で、地下にはメタンガスなどの可燃性ガスがたまっています。
もともとそういう土地でした。駄目じゃん。
大阪・関西万博会場でガス爆発事故…「メタンガス」の危険性は国会で指摘されていた (日刊ゲンダイ, 3/30)
2023年11月29日の参院予算委員会。社民党の福島みずほ参議院議員(68)は、万博会場となっている現場の土壌改良の必要性についてこう質問。
「何で万博会場は土壌改良をやらないんですか。有害物質の上でやるんですか。今、ここ、現場でメタンガスが出ていますよね。どういう状況ですか」
第212回国会 参議院 予算委員会 第6号 令和5年11月29日 (国会会議録検索システム)。メタンガスの件は174番から。
大阪 万博工事 可燃性ガス爆発 危険な会場 直ちに中止を (しんぶん赤旗, 3/31)
同工区のある夢洲1区は廃棄物の処分場で、地下にはメタンガスなどの可燃性ガスのほかダイオキシンなど有害物質が大量に埋まっています。可燃性ガスを放出する管(写真)は、市民団体が確認しただけでも79本に上ります。(中略) 万博協会はガス抜き管の出口の付け替えだけで建設工事を推進。政府も「開催は危険だと認識していない」(自見英子万博相)と容認してきましたが、今回の事故で危険性が露呈しました。
大阪万博の工事現場でガス爆発 会場地下に溜まるメタンガスへの懸念が現実に! 危険な有害物質PCB汚泥も覆うだけ (リテラ, 3/31)
「万博会場でたばこ吸ったら吹っ飛ぶ」をホンマに否定できるんか 建設現場で爆発、原因はメタンガスらしい (東京, 4/2)
》 iPad miniを機内に忘れ、8,700km先から取り戻した話 (PC Watch, 4/3)
》 【津波注意報 解除】台湾付近でM7.7の地震 沖縄で津波観測 (ウェザーニュース, 4/3)
台湾付近 M7.5 ごく浅い (気象庁, 4/3 08:58)、 台湾付近 M6.6 ごく浅い (気象庁, 4/3 09:11)
M 7.4 - 18 km SSW of Hualien City, Taiwan (USGS, 4/2 23:58:11 UTC)、 M 6.4 - 11 km NE of Hualien City, Taiwan (USGS, 4/3 00:11:25 UTC)
https://twitter.com/UN_NERV/status/1775335104468181489 (NERV / twitter, 4/3)
【地震の震源要素更新】
令和 6年 4月 3日10時30分をもって、地震の発生場所と規模を更新します。
震源: 台湾付近(北緯23度49.9分 東経121度35.9分 深さ 23km)
規模: M7.7
沖縄県の津波注意報をすべて解除 各地で津波観測 (NHK, 4/3)
台湾でM7.7、99年以来の大地震-TSMCとUMC生産ラインに影響 (ブルームバーグ, 4/3)
台湾東部 マグニチュード7超える地震 1人死亡50人以上けが (NHK, 4/3)
花蓮規模7.2地震市區2大樓嚴重傾斜 新北中和倉庫倒塌【圖輯】 (中央社網站, 4/3)
台湾東部地震/台湾東部で地震 複数の建物に被害 鉄道も一部で運転見合わせ (フォーカス台湾, 4/3)
》 上川外相 パレスチナ首相に“UNRWAへの資金拠出再開”伝える (NHK, 4/2)。ようやくですか。
》 ガザ情勢が及ぼすエネルギー供給への地政学的影響 ――中東のエスカレーション・リスクと紅海地域の不安定化 (笹川平和財団, 4/2)
現状では、中東の地域大国や米国のいずれも紛争のエスカレーションは望んでおらず、直接介入を明確に否定し、全面戦争を回避してきた。しかし、イスラエルは10月7日の事件によって破られた抑止を回復させるために、ガザ地区への大規模な軍事侵攻を継続するとともに、イランや親イラン勢力を挑発して米国を引きずり込もうとしており、この試みが暴発する危険性は無視できない。また、非国家主体という「ワイルドカード」が軍事衝突や偶発的エスカレーションの引き金になり得る。
米国やイラン、その他の地域大国が抑制的に行動する限り、複数の国を巻き込む全面戦争が発生する見込みは短期的には低いが、「戦争状態には至らずとも域内諸国が緊張状態にあり、武力衝突が突発的に発生し、邦人や日本権益が巻き込まれる」という状況は継続している。局所的な対立がエスカレーションを引き起こし、中東域内で「意図せざる戦争(unwanted war)」を引き起こすリスクには常に注意が必要である[1]。
》 「諸刃の剣」としてのAUKUS ――豪州の原子力潜水艦取得に向けた課題(前編) (笹川平和財団, 3/14)、 (後編) (笹川平和財団, 3/18)
より深刻な問題は、米国内の動向であろう。前節で見たように、米国議会は12月に豪州への原潜供与に同意したものの、潜水艦の譲渡が「米国の海中能力を低下させず」、「米国の外交政策と国家安全保障上の利益に合致する」ことを米大統領が証明すること、また米国が自国のニーズを満たすために「十分な潜水艦の生産・保守投資を行う」こと、そして豪州が同艦を運用する能力を持つことなど、多くの条件がつけられた[10]。また、豪州は潜水艦の購入費用とは別に、米国の潜水艦産業育成のために30億米ドル(日本円で約4400億円)を支払わなければならない。
ここでもっとも大きな問題となるのが、米国の原潜の生産能力の問題である。現在の米海軍の弾道ミサイル搭載原子力潜水艦以外の潜水艦は50隻前後で、長期目標である66〜72隻には遠く及ばない。ある分析によると、豪州に提供する分を踏まえた場合、米国は現在から2030年代にかけてヴァージニア級原潜を少なくとも年間2.3隻のペースで建造する必要がある。もっとも、ヴァージニア級の引き渡し速度は現在、年1.4隻程度であり、2隻に達するまでには5年かかると見られている[11]。
US の建艦能力の低さよ……。ほんまにできるんかいな。
XZ Utils 5.6.0 / 5.6.1 に難読化されたバックドアが仕掛けられており、 liblzma を利用するアプリケーション (例: SSH) を通じて侵害を行うことが可能。 CVE-2024-3094
XZ Utils 5.6.0 / 5.6.1 が比較的最近リリースされたもの (5.6.0: 2024.02.24、5.6.1: 2024.03.09) であったため、 主要な Linux ディストリビューションの安定版にはまだ採用されていなかった。
Urgent security alert for Fedora Linux 40 and Fedora Rawhide users (Red Hat, 2024.03.29)。 Fedora Linux 40 / 40 beta および Fedora Rawhide にのみ影響。
[SECURITY] [DSA 5649-1] xz-utils security update (Debian, 2024.03.29)、 CVE-2024-3094 (Debain)。unstable のみ影響。
openSUSE addresses supply chain attack against xz compression library (OpenSUSE, 2024.03.29)。ローリングリリースである openSUSE Tumbleweed および openSUSE MicroOS の 3/7〜3/28 版にのみ影響。3/29 リリースの liblzma5 5.6.1.revertto5.4 で修正。
Backdoor found in xz package source (alpine linux, 2024.03.31)、 CVE-2024-3094 (alpine linux)。 開発版である Edge にのみ影響。ただし問題のコードは alpine linux では機能しないと考えられている。
The xz package has been backdoored (arch linux, 2024.03.29)。 2024.03.01 以降のインストールメディア、 VM イメージ 20240301.218094 および 20240315.221711、 コンテナイメージ 2024-02-24 から 2024-03-28 までに影響。
All about the xz-utils backdoor (KALI Linux, 2024.03.29)。3/26 以降、 xz-utils パッケージが 5.6.0 ベースになっていた。 3/29 にリリースされた xz-utils 5.6.1+really5.4.5-1 で修正。
macOS 方面の Homebrew / MacPorts にも影響あったようで。
History for macports-portsarchiversxzPortfile (GitHub)。3/22 に 5.6.1 になり 3/28 に 5.4.6 に戻っている。
brew install xz installs the outdated version 5.4.6 instead of 5.6.1 #5243 (GitHub)。3/10 に 5.6.1 になり 3/29 に 5.4.6 に戻っている。
関連:
XZ Utils backdoor (Lasse Collin)。震源地。「Most likely it will be during the first week of April 2024」 だそうです。
backdoor in upstream xz/liblzma leading to ssh server compromise (Andres Freund / oss-sec ML, 2024.03.29)。発見者による詳細解説。
「XZ Utils」にバックドア、オープンソースエコシステム全体の信頼を揺るがす事態に 0.5秒の遅延からたまたま発覚、数年をかけた周到なやり口が明るみに (窓の杜, 2024.04.01)。浸透工作 (= 信頼構築) は年単位の作業なんだよなあ。
XZ Utilsの脆弱性 CVE-2024-3094 についてまとめてみた (piyolog, 2024.04.01)
Everything I Know About the XZ Backdoor (boehs.org, 2024.03.29)。JiaT75 (Jia Tan) 氏の足跡について。
FreeBSD は影響なしだそうです。
Disclosed backdoor in xz releases - FreeBSD not affected (freebsd-security ML, 2024.03.29)
The main, stable/14, and stable/13 branches do include the affected version (5.6.0), but the backdoor components were excluded from the vendor import. Additionally, FreeBSD does not use the upstream's build tooling, which was a required part of the attack. Lastly, the attack specifically targeted x86_64 Linux systems using glibc.
過去の記事: 2024 | 2023 | 2022 | 2021 | 2020 | 2019 | 2018 | 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998