》 電動キックボード、免許不要で利用も事故も急増。最大手Luupに聞く現状 (Business Insider, 9/20)
》 令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について (警察庁, 9/21)
ランサムウェアの感染経路について質問したところ、49件の有効な回答があり、このうち、VPN機器からの侵入が35件で71%、リモートデスクトップからの侵入が5件で10%を占め、テレワーク等に利用される機器等のぜい弱性や強度の弱い認証情報等を利用して侵入したと考えられるものが82%と大半を占めた。被害に遭ったシステム又は機器のバックアップの取得状況について質問したところ、62件の有効な回答があり、このうち、取得していたものが57件で92%を占めた。また、取得していたバックアップから復元を試みた57件の回答のうち、バックアップから被害直前の水準まで復旧できなかったものは45件で79%であった。
アルツァフ共和国 (ウィキペディア)
未承認国家「アルツァフ共和国」が事実上の降伏。「対テロ作戦で主権を回復した」とアゼルバイジャン大統領が宣言【UPDATE】 (BuzzFeed, 9/20)
アゼルバイジャン、対テロ戦闘開始を発表 ナゴルノカラバフへ攻撃 (毎日, 9/19)、 アゼルバイジャン勝利宣言 ナゴルノ支配回復焦点 (毎日, 9/20)
アゼルバイジャン軍がアルツァフ共和国に侵入、アルメニアも不介入 (航空万能論 GF, 9/20)
アルツァフ共和国、軍の武装解除や解体を受け入れる停戦案を承諾 (航空万能論 GF, 9/20)
アゼルバイジャン大統領、不介入のアルメニアを評価し和平協定締結を示唆 (航空万能論 GF, 9/21)
アルメニア側、武装解除前の安全保証を要求 ナゴルノめぐる停戦協議 (朝日, 9/22)
安保理緊急会合で非難の応酬 アゼルバイジャンとアルメニア外相 (朝日, 9/22)
》 Some new snippets from the Snowden documents (electrospaces.net, 9/14)
》 New Privacy Badger Prevents Google From Mangling More of Your Links and Invading Your Privacy (EFF, 9/19)
》 Oracle、「Java 21」を発表 ~8年間のサポートを約束した長期サポート(LTS)リリース (窓の杜, 9/20)
関連: 「Java 11」の長期サポート(LTS)、少なくとも2032年1月まで延長へ (窓の杜, 9/21)
》 WinSCP 6.1.2 released (WinSCP, 9/19)。 OpenSSL 1.1.1w へ更新など。 iida さん情報ありがとうございます。
そういえば出てました。
(緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2023-3341) - バージョンアップを強く推奨 - (JPRS, 2023.09.21)。制御チャネルへのアクセスを制限することで緩和できる。
(緊急)BIND 9.18.xの脆弱性(DNSサービスの停止)について(CVE-2023-4236) - BIND 9.18系列のみが対象、バージョンアップを強く推奨 - (JPRS, 2023.09.21)。DNS over TLS を無効にすることで回避できる。
BIND 9.18.19 / 9.16.44 で対応されている。
0-day 3 件:
Kernel - 権限上昇 CVE-2023-41992
Security - 署名検証の回避 CVE-2023-41991
WebKit - RCE CVE-2023-41993
修正された製品:
About the security content of iOS 17.0.1 and iPadOS 17.0.1 (Apple, 2023.09.21)
About the security content of iOS 16.7 and iPadOS 16.7 (Apple, 2023.09.21)
About the security content of macOS Ventura 13.6 (Apple, 2023.09.21)
About the security content of macOS Monterey 12.7 (Apple, 2023.09.21)
About the security content of watchOS 10.0.1 (Apple, 2023.09.21)
About the security content of watchOS 9.6.3 (Apple, 2023.09.21)
About the security content of Safari 16.6.1 (Apple, 2023.09.21)
OpenSSL 3.1.3 / 3.0.11 出ました。ダウンロード。 iida さん情報ありがとうございます。
》 Oracle、「Java 21」を発表 ~8年間のサポートを約束した長期サポート(LTS)リリース (窓の杜, 9/20)
》 スノーデン文書により「Cavium製チップにはアメリカ政府のバックドアが仕込まれている可能性があることが判明した」と専門家が主張 (gigazine, 9/20)
》 Huaweiの新型スマホ「Mate 60 Pro」に搭載された7nmプロセスの5Gチップに対しアメリカ政府が「大量生産できる証拠はない」と指摘 (gigazine, 9/20)
》 X(Twitter)がなおもFacebook・Instagram・Bluesky・Substackへのアクセスを意図的に遅くしていることを確認できるテストが登場 (gigazine, 9/19)
》 イーロン・マスク氏 「X」全利用者に少額課金求める考え示す (NHK, 9/19)。いよいよ最後かな。どこに脱出するのがいいんだろう。 Threads は論外のようなのだが。
》 杉田水脈議員のアイヌ民族差別投稿 人権侵害と認定 札幌法務局 (NHK, 9/20)
》 (更新あり)「櫻井翔がラグビー日本代表アンバサダー『降板』へ」は誤り【ファクトチェック】 (日本ファクトチェックセンター(JFC), 9/15)
》 アップルが“脱Lightning”をここまで引っ張った理由 iPhoneのUSB-Cは「MFi認証なし」に (ITmedia, 9/14)
》 Apple、「iOS 17」「iPadOS 17」の一般提供を開始 (窓の杜, 9/19)
》 Unity謝罪、新料金を見直しへ 「コミュニティの声を聞く」 (ITmedia, 9/19)。関連:
Unityからの移行先 (木戸明 / Zenn, 9/13)
「Unity」の移行先の候補になるゲームエンジンまとめ (gigazine, 9/14)
》 マツダ、個人情報10万件超を漏えいか 社内サーバに不正アクセス (ITmedia, 9/15)、 不正アクセス発生による個人情報流出可能性のお知らせとお詫び (Mazda, 9/15)。 「弊社に設置したアプリケーションサーバーの脆弱性が悪用された」。
curl
curl 8.3.0 (daniel.haxx.se, 2023.09.13)
CVE-2023-38039 HTTP headers eat all memory (curl.se, 2023.09.13)
Apache Tomcat Connectors (mod_jk)
[SECURITY] CVE-2023-41081 Apache Tomcat Connectors (mod_jk) Information Disclosure (oss-sec ML, 2023.09.13)。Apache Tomcat Connector (mod_jk) 1.2.49 以降で対応。
FreeBSD pf, wifi
FreeBSD-SA-23:10.pf - pf incorrectly handles multiple IPv6 fragment headers (FreeBSD, 2023.09.06)
FreeBSD-SA-23:11.wifi - Wi-Fi encryption bypass (FreeBSD, 2023.09.06)。 CVE-2022-47522 の件。
Cisco IOS XR Software
Cisco IOS XR Software Compression ACL Bypass Vulnerability (Cisco, 2023.09.13)
This vulnerability is due to incorrect destination address range encoding in the compression module of an ACL that is applied to an interface of an affected device. An attacker could exploit this vulnerability by sending traffic through the affected device that should be denied by the configured ACL. A successful exploit could allow the attacker to bypass configured ACL protections on the affected device, allowing the attacker to access trusted networks that the device might be protecting.To determine if an IPv4 ACL has either level 2 or 3 compression applied, use the show running-config | include "compress level 2|compress level 3" CLI command. If the command returns output, the device is affected by this vulnerability. However, the impact depends on the configuration of the ACL. See details for more information.
いろいろ (2023.04.03) 802.11 Wi-Fi 標準
FreeBSD-SA-23:11.wifi - Wi-Fi encryption bypass (FreeBSD, 2023.09.06)
Trend Micro Apex One 2019 / Apex One SaaS、ウイルスバスタービジネスセキュリティ 10.0 SP1 / ビジネスセキュリティサービスに 0-day 欠陥。 サードパーティのセキュリティ製品をアンインストールする機能に欠陥があり、 製品の管理コンソールにログインできる場合に、任意のコードを実行できる。
Trend Micro Apex One SaaS とウイルスバスタービジネスセキュリティサービスについては 7月中に修正済。Trend Micro Apex One 2019 は Service Pack 1 - Patch 1 (ビルド 12380) で、 ウイルスバスタービジネスセキュリティ 10.0 SP1 は Patch 2495 で修正されている。
》 【抄訳】ISW ロシアによる攻勢戦役評価 1840 ET 13.09.2023 “ウクライナ軍、クリミアのロシア防空システムを攻撃” (Panzergraf / note, 9/15)。S400。
》 Chromebookの自動更新を10年保証 ~Googleが発表、より長く安心して使えるように (窓の杜, 9/15)
Zoom Zoom Desktop Client / VDI Client / Mobile App / Meeting SDK、CleanZoom
「Zoom」などに3件の脆弱性 ~特権昇格やサービス拒否の恐れ (窓の杜, 2023.09.13)
》 北朝鮮、改ロメオ級「戦術核攻撃潜水艦」進水式を実施 (9/6)
北朝鮮 「戦術核攻撃潜水艦」の進水式と試験航行を実施 (NHK, 9/8)
北朝鮮、水中から攻撃可能な「戦術核攻撃潜水艦」を公開 運用可能かは不明 (BBC, 9/8)
情報BOX:北朝鮮、海軍強化の狙い 水中ドローンに新型潜水か (ロイター, 9/11)
The Sleeper Has Awakened: Six Key Takeaways From the Rollout of North Korea’s “Tactical Nuclear Attack Submarine” (38 NORTH, 9/11)
- SLBM x 4 (北極星1号 (射程1250km) または北極星3号 (射程 1900km))
- LACM x 6 (Hwasal-2 (射程 2000km))
- 他のロメオ級 (最大19隻) にも同様の改装を実施する予定。 最大で SLBM x 80、LACM x 120 となる。
》 ロシア、英偵察機にミサイル発射 昨年9月、BBC「撃墜の意図」 (共同, 9/15)
BBC の記事はこちら: Rogue Russian pilot tried to shoot down RAF aircraft in 2022 (BBC, 9/14)。英国空軍 RC-135W Rivet Joint がロシアの Su-27 からミサイル攻撃を受けたと。
Since the incident, these RAF surveillance flights have been escorted by Typhoon fighter jets armed with air-to-air missiles.
The UK is the only Nato ally to conduct crewed missions over the Black Sea.
》 MetaのSNSアプリ・Threadsでは「vaccines(ワクチン)」や「covid(コロナ)」が検索できないように規制されている (gigazine, 9/12)
》 Meta製SNS「Threads」が「Appleのデータ保護は幻想」という実態を浮き彫りにしているとの指摘 (gigazine, 9/11)
Metaは2023年7月6日に、当時Twitterという名称だったXの対抗馬と目されるSNSアプリ「Threads」をリリースしましたが、プライバシーの不透明さにより記事作成時点でもEUでの公開が実現していません。マジか。
「もしAppleが本当にプライバシーを重視しているのなら、App Storeに明確な警告を表示するはず」しかしそんなものは存在しませんよ、と。
》 世界一辛い唐辛子使用の激辛スナック菓子を食べた少年が数時間後に死亡、メーカーは「成人向け」と注意喚起 (gigazine, 9/11)。「辛い」は味じゃないからねえ。
》 「AIだからすごいんでしょ」を超えていけ──ヤマハが異例の“生成AIボカロ”オープンβテストに踏み切ったワケ 仕掛け人の「AI美空ひばり」開発者に聞く (ITmedia, 9/13)
》 イーロン・マスクはウクライナによるロシア軍艦への爆弾攻撃を阻止するためにStarlinkの通信を遮断するよう命令していたことが明らかに (gigazine, 9/8)
》 「スマート貞操帯」のメーカーがパスワードや位置情報を公開していることが判明 (gigazine, 9/12)。まるみえ。
》 Microsoft、サードパーティ製プリンタードライバのサポート終了を発表。すべてのWindowsが対象。時間をかけて段階的に (ニッチなPCゲーマーの環境構築Z, 9/10)
》 ウクライナ軍がセバストポリ造船所を攻撃、大型揚陸艦と潜水艦を破壊か (航空万能論 GF, 9/13)、 ウクライナ軍、巡航ミサイルで大型揚陸艦と改キロ型潜水艦の破壊に成功 (航空万能論 GF, 9/14)
関連: 【抄訳】ISW ロシアによる攻勢戦役評価 1840 ET 13.09.2023 “セヴァストポリへのミサイル攻撃” (Panzergraf / note, 9/14)
》 偽物かどうか見破るのが困難な装備のダミー、ロシア軍は数百の弾薬を浪費 (航空万能論 GF, 9/12)
最新のダミーには兵器の熱特性を模倣するトリックも仕込んでいる」と明かしており、もはや膨張式のダミーでは効果が低いことを示唆している。
》 iPhone 15でUSB-C対応のApple「ケーブルだらけの毎日とはお別れです」←「誰のせいで」とツッコミの嵐 (ねとらぼ, 9/13)。「お前だよ!」(CV: サンドウィッチマン富澤)
》 「Windows回復環境」(WinRE)の更新方法変更でエラー発生、Microsoftがアプデ失敗の原因を説明 (窓の杜, 9/14)。 Windows 11 バージョン 22H2 限定。 山市良さんがそのうち解説してくれるだろうと期待。
2023.09 patch です。 CVE 番号が太字なのは critical (最大深刻度: 緊急) 扱い。
- .NET and Visual Studio CVE-2023-36792 CVE-2023-36793 CVE-2023-36794 CVE-2023-36796
- .NET Core & Visual Studio CVE-2023-36799
- .NET Framework CVE-2023-36788
- 3D Builder CVE-2023-36770 CVE-2023-36771 CVE-2023-36772 CVE-2023-36773
- 3D Viewer CVE-2023-36739 CVE-2023-36740 CVE-2023-36760
- Azure DevOps CVE-2023-33136 CVE-2023-38155
- Azure HDInsights CVE-2023-38156
- Microsoft Azure Kubernetes Service CVE-2023-29332
- Microsoft Dynamics CVE-2023-36886 CVE-2023-38164
- Microsoft Dynamics Finance & Operations CVE-2023-36800
- Microsoft Exchange Server CVE-2023-36744 CVE-2023-36745 CVE-2023-36756 CVE-2023-36757 CVE-2023-36777
- Microsoft Identity Linux Broker CVE-2023-36736
- Microsoft Office CVE-2023-36765 CVE-2023-36767 CVE-2023-41764
- Microsoft Office Excel CVE-2023-36766
- Microsoft Office Outlook CVE-2023-36763
- Microsoft Office SharePoint CVE-2023-36764
- Microsoft Office Word CVE-2023-36761 CVE-2023-36762
- Microsoft Streaming Service CVE-2023-36802
- Microsoft Windows Codecs Library CVE-2023-38147
- Visual Studio CVE-2023-36758 CVE-2023-36759
- Visual Studio Code CVE-2023-36742
- Windows Cloud Files Mini Filter Driver CVE-2023-35355
- Windows Common Log File System Driver CVE-2023-38143 CVE-2023-38144
- Windows Defender CVE-2023-38163
- Windows DHCP Server CVE-2023-36801 CVE-2023-38152 CVE-2023-38162
- Windows GDI CVE-2023-36804 CVE-2023-38161
- Windows Internet Connection Sharing (ICS) CVE-2023-38148
- Windows Kernel CVE-2023-36803 CVE-2023-38139 CVE-2023-38140 CVE-2023-38141 CVE-2023-38142 CVE-2023-38150
- Windows Scripting CVE-2023-36805
- Windows TCP/IP CVE-2023-38149 CVE-2023-38160
- Windows Themes CVE-2023-38146
0-day はこちら:
Microsoft Streaming Service Proxy Elevation of Privilege Vulnerability CVE-2023-36802 (Microsoft, 2023.09.12)
Microsoft Word Information Disclosure Vulnerability CVE-2023-36761 (Microsoft, 2023.09.12)
関連:
Latest Servicing Stack Updates ADV990001 (Microsoft, 2023.09.12 更新)。Windows Server 2012 / 2012 R2 用 SSU が更新されている。
Microsoft September 2023 Patch Tuesday (SANS ISC, 2023.09.12)
【Windows11】 WindowsUpdate 2023年9月 不具合情報 - セキュリティ更新プログラム KB5030219 / KB5030217 (ニッチなPCゲーマーの環境構築Z, 2023.09.13)
【Windows10】 WindowsUpdate 2023年9月 不具合情報 - セキュリティ更新プログラム KB5030211 (ニッチなPCゲーマーの環境構築Z, 2023.09.13)
Notepad++
「Notepad++」v8.5.7が公開 ~4件の脆弱性に対処したセキュリティアップデート (窓の杜, 2023.09.11)
3 製品です。Acrobat / Reader は Priority: 1 (0-day)、他は 3。
Security update available for Adobe Acrobat and Reader | APSB23-34 (Adobe, 2023.09.12)。RCE を招く 0-day 欠陥 1 件 CVE-2023-26369 を修正。
Security update available for Adobe Connect | APSB23-33 (Adobe, 2023.09.12)
Security updates available for Adobe Experience Manager | APSB23-43 (Adobe, 2023.09.12)
Chrome 117.0.5938.62 (Linux / Mac) および 117.0.5938.62/.63 (Windows) が stable に。16 件のセキュリティ修正を含む。内 1 件 CVE-2023-4863 は 0-day 。WebP の処理で heap buffer overflow と。
[$NA][1479274] Critical CVE-2023-4863: Heap buffer overflow in WebP. Reported by Apple Security Engineering and Architecture (SEAR) and The Citizen Lab at The University of Torontoʼs Munk School on 2023-09-06Apple 方面 0-day (iOS / iPadOS, macOS, watchOS) の CVE-2023-41064 (ImageIO) の件は WebP 画像の処理の話だったのかな。
関連:
WebPコーデックの重大な脆弱性対処でChromeなど主要Webブラウザが緊急更新 (ITmedia, 2023.09.14)
Android 版 Chrome 117.0.5938.60 も出ています: Chrome for Android Update (Google, 2023.09.12)
Edge も同様に更新されてます: 「Microsoft Edge」でも深刻度「Critical」のゼロデイ脆弱性が修正 (窓の杜, 2023.09.13)
2023.09.19 追記:
「Microsoft Edge 117」が正式版に ~最近削除されたお気に入りの復元に対応 (窓の杜, 2023.09.19)
Firefox 117.0 / ESR 115.2.0 / ESR 102.15.0、Firefox for Android 117、Thunderbird 102.15.0 / 115.2.0 公開 (2023.09.06)
Firefox 117.0.1 / ESR 115.2.1 / ESR 102.15.1、Thunderbird 102.15.1 / 115.2.2 が公開されました。セキュリティ修正を含みます。 また Thunderbird 102.15.0 以降のヘルプメニューから Thunderbird 115 へ手動更新できるようになりました。
iida さん情報ありがとうございます。
Mozilla Foundation Security Advisory 2023-40 Security Vulnerability fixed in Firefox 117.0.1, Firefox ESR 115.2.1, Firefox ESR 102.15.1, Thunderbird 102.15.1, and Thunderbird 115.2.2 (Mozilla, 2023.09.12)。「他の製品」で 0-day だそうで。
Firefox 117.0.1 がリリースされた (mozillaZine, 2023.09.13)
Thunderbird 102.15.1 がリリースされた (mozillaZine, 2023.09.13)
Thunderbird 115.2.1 がリリースされた (mozillaZine, 2023.09.12)
Thunderbird 115.2.2 がリリースされた (mozillaZine, 2023.09.13)
》 ウクライナ軍、黒海に浮かぶ石油掘削リグの支配権をロシア軍から奪還 (航空万能論 GF, 9/11)
》 米国、クラスター砲弾の活躍を受けて同タイプのATACMS提供を検討中 (航空万能論 GF, 9/12)。実際、効果があるんだよなあ。 不発弾処理が超大変なんだけど。
》 信頼性と将来性が明暗を分ける、インドネシアもA330MRTTを選択 (航空万能論 GF, 9/7)。ふつうに考えると KC-46A は負ける模様。
Apple 方面 0-day (iOS / iPadOS, macOS, watchOS) (2023.09.08)
iOS / iPadOS 15.7.9, macOS 12.6.9 / 11.7.10 出ました。 ImageIO の 0-day CVE-2023-41064 が修正されています。
iOS 15.7.9 and iPadOS 15.7.9 (Apple, 2023.09.11)
About the security content of macOS Monterey 12.6.9 (Apple, 2023.09.11)
About the security content of macOS Big Sur 11.7.10 (Apple, 2023.09.11)
Wallet の 0-day CVE-2023-41061 は iOS 16 特有なのかな。
OpenSSL 1.1.1w 出ました。ダウンロード。 iida さん情報ありがとうございます。
64bit Windows 版 OpenSSL 1.1.1 / 3.0 / 3.1 系に影響。 OpenSSL 1.0.2 系には影響しない。 Severity: Low のため、次期リリース版にて修正される。
って、
OpenSSL 1.1.1 will reach end-of-life on 2023-09-11. After that date security fixes for 1.1.1 will only be available to premium support customers.うひゃあ。1.1.1w って明日出ます?
iida さん情報ありがとうございます。
2023.09.12 追記:
OpenSSL 1.1.1w 出ました。ダウンロード。 iida さん情報ありがとうございます。
2023.09.22 追記:
OpenSSL 3.1.3 / 3.0.11 出ました。ダウンロード。 iida さん情報ありがとうございます。
》 U.S. Government Blacklists Cytrox and Intellexa Spyware Vendors for Cyber Espionage (Hacker News, 7/19)
オフィシャル: The United States Adds Foreign Companies to Entity List for Malicious Cyber Activities (state.gov, 7/18)
U.S. blacklists spyware companies, citing security threats (Washington Post, 7/18)
U.S. Blacklists Two Spyware Firms Run by an Israeli Former General (NYTimes, 7/18)。Cytrox と Intellexa は同じ人物 (イスラエルの退役将軍 Tal Dilian) が把握しているのだそうで。
The two firms, Intellexa and Cytrox, are at the center of a political scandal in Greece, where government officials have been accused of using their hacking tools against journalists and political opponents.ギリシャの件:
[FT]ギリシャ野党幹部の盗聴に首相関与か 情報機関暗躍 (日経, 2022.08.26)
ギリシャ スパイウェアの販売禁止へ 盗聴スキャンダル受け (KWP News, 2022.11.08)
盗聴疑惑に揺れるギリシャ 野党党首や記者に 政権は関与否定 (毎日, 1/3)
ギリシャは今夏に総選挙を控えており、問題解決が長引けば、選挙情勢に影響を与える可能性もある。その総選挙では、結局ミツォタキス続投となったようです: ギリシャ再選挙、中道右派が圧勝 ミツォタキス氏、首相続投 (時事, 6/26)
》 Windowsのブルースクリーンを引き起こすCPUをIntelが公表 ~MSIからは修正BIOS (窓の杜, 9/7)
Intelによると、この問題はパフォーマンスハイブリッドアーキテクチャーの13世代「Core」プロセッサーの一部で発生するとのこと。該当するCPUの情報が公開されている。
》 産業用制御システムの脆弱性の傾向分析、「ICS CVE Research Report」から見る2023年上半期の特徴 (山賀 正人 / Internet Watch, 9/7)
》 ついにWindowsのOSレベルで「TLS 1.0/1.1」が既定で無効化へ、その影響を調査するには (山市良 / @IT, 9/5)
》 100均で売っているモノを使って屋内用蚊取りを自作してみました。 (熊猫さくらのブログ, 9/1)
》 第25回Willのお知らせ (壇弁護士の事務室, 8/31)。2023.10.14、大阪市立西区民センター、資料代500円。
》 米軍がDark Eagle試射に失敗、怪しくなってきた年内の極超音速兵器配備 (航空万能論 GF, 9/7)。 あらまあ。
因みにジョン・ハイテン統合参謀本部副議長(現在は退任)は2022年1月「極超音速兵器の開発競争で中国に米国が負けるのは、未成熟な技術を開発する過程のテストにおいて失敗を許さない官僚主義や議会に問題があるからだ。萎縮した米軍は極超音速兵器のテストを過去5年間で9回しか実施していないが、同じ期間に中国は数百回のテストを行っている」と指摘。
米政府説明責任局も「開発中の極超音速ミサイルが直面している問題の多くは国防総省が従来の兵器開発プロセスをバイパスする新しい開発権限を行使しているためで、未熟な技術と6ヶ月以内にプロトタイプ製造して5年以内に量産ミサイルを配備するという積極的なスケジュールにある」と指摘。
》 アメリカ、劣化ウラン弾をウクライナに供与へ (BBC, 9/7)。M-1 用。
NSO Group 方面 (2021.11.11)
あいかわらず続いています。
Triple Threat: NSO Group’s Pegasus Spyware Returns in 2022 with a Trio of iOS 15 and iOS 16 Zero-Click Exploit Chains (CitizenLab, 2023.04.18)、 ユーザーのiPhoneを乗っ取るPegasusスパイウェアに感染させる「ゼロクリック攻撃」が3件確認される、背後で政府や軍が関与する可能性も (gigazine, 2023.04.19)
BLASTPASS: NSO Group iPhone Zero-Click, Zero-Day Exploit Captured in the Wild (CitizenLab, 2023.09.07)
NYTimes 報道。
A Front Company and a Fake Identity: How the U.S. Came to Use Spyware It Was Trying to Kill. (NYTimes, 2023.04.02)。米国政府は 2021.11.03 に NSO Group をエンティティリストに追加したが、 そのわずか 5 日後の 2021.11.08 に NSO Group と契約していた、というスクープ記事。 この記事の時点では、米国政府のどの部署が契約していたのかは不明だった。
Who Paid for a Mysterious Spy Tool? The F.B.I., an F.B.I. Inquiry Found. (NYTimes, 2023.07.31)。 ↑で契約していたのは FBI だった、ことが FBI の調査で判明。
VMware Tools
VMSA-2023-0019.1 VMware Tools updates address a SAML Token Signature Bypass Vulnerability (CVE-2023-20900) (VMware, 2023.09.05 更新)。VMware Tools 12.3.0 (Windows)、 VMware Tools 10.3.26 (Linux)、 open-vm-tools 12.3.0 (Linux) で修正されている。
VMware Tools 12.3.0 Release Notes (VMware, 2023.08.31)
open-vm-tools 12.3.0 Release Notes (GitHub, 2023.08.31)
iOS / iPadOS, macOS, watchOS に 2 件の 0-day CVE-2023-41061 (Wallet) CVE-2023-41064 (ImageIO) 。 iOS / iPadOS 16.6.1 , macOS 13.5.2, watchOS 9.6.2 で修正。
About the security content of iOS 16.6.1 and iPadOS 16.6.1 (Apple, 2023.09.07)
About the security content of macOS Ventura 13.5.2 (Apple, 2023.09.07)
About the security content of watchOS 9.6.2 (Apple, 2023.09.07)
関連:
BLASTPASS: NSO Group iPhone Zero-Click, Zero-Day Exploit Captured in the Wild (CitizenLab, 2023.09.07)。また NSO Group の Pegasus ですか。 iOS 16.6 に対する攻撃を確認しているそうで。
Last week, while checking the device of an individual employed by a Washington DC-based civil society organization with international offices, Citizen Lab found an actively exploited zero-click vulnerability being used to deliver NSO Group’s Pegasus mercenary spyware.また、増加するリスクに直面している人に対しては、ロックダウンモードの使用が推奨されています。
We encourage everyone who may face increased risk because of who they are or what they do to enable Lockdown Mode.2023.09.12 追記:
iOS / iPadOS 15.7.9, macOS 12.6.9 / 11.7.10 出ました。 ImageIO の 0-day CVE-2023-41064 が修正されています。
iOS 15.7.9 and iPadOS 15.7.9 (Apple, 2023.09.11)
About the security content of macOS Monterey 12.6.9 (Apple, 2023.09.11)
About the security content of macOS Big Sur 11.7.10 (Apple, 2023.09.11)
Wallet の 0-day CVE-2023-41061 は iOS 16 特有なのかな。
》 神宮外苑の再開発に「遺産危機警告(ヘリテージアラート)」ユネスコ諮問機関が「世界に類を見ない文化遺産」 (ハフポスト, 9/7)
イコモスは (中略) ヘリテージアラートを出すとともに、事業者や東京都、自治体、国に対し以下の5つを要請している。
- 事業者の三井不動産、明治神宮、日本スポーツ振興センター、伊藤忠商事への要請:神宮外苑の再開発計画を撤回し、国際的企業や宗教法人、スポーツ促進団体として、社会的、倫理的責任を果たすこと
- 東京都への要請:高層ビルの建築が市民の公園利用の権利を永遠に奪うものであるという事態を鑑みて、神宮外苑再開発に関する都市計画決定を見直し、環境アセスメントの再審を行うこと
- 明治神宮への要請:神宮外苑が市民からの寄付と奉仕活動によって作られ、「美しい公園として永遠に維持する」という約束のもとに奉献された歴史を考慮して、再開発事業から速やかに撤退すること
- 港区、新宿区、渋谷区への要請:未来の世代のために、神宮外苑を名勝指定するための取り組みを行うこと
- 国への要請:神宮外苑再開発を東京だけの問題と見なさず介入すること
関連: 凄い追い風が吹いています。神宮外苑再開発計画に遺産危機警告(ヘリテージアラート)が出ました! (change.org)
》 下水を流れるウンチを見れば第9波の到来がわかる!? コロナの感染拡大を"見える化"する「下水疫学」の世界 (週プレNEWS, 9/6)
例えば山梨県で下水疫学調査をしている山梨大学・原本英司教授の研究チームによれば、下水から検出される新型コロナウイルスのRNA濃度はすでに第8波のピークを上回っています(図)。この結果から、山梨県内では第8波を超える感染者数が発生している状況と考えることができます。
われわれが宮城県仙台市内で行なっている下水疫学調査でも、8月28日~9月3日の仙台市内における新型コロナ新規感染者数の予測値は1万86人と、第8波のピーク時に迫るレベルで高止まりしています
》 中国系ハッカーが署名キーをWindowsのクラッシュダンプから盗み出していたことが判明 (gigazine, 9/7)。Storm-0558 の件。
》 フィッシング対策セミナー 2023(オンライン)開催のご案内 (フィッシング対策協議会, 9/1)。 2023.11.10、オンライン (要申込)、無料。
》 MSI、ブルースクリーンエラーの不具合をBIOSアップデートで修正。8月23日のWindowsUpdateを適用するとPC起動時にBSoDになる問題 (ニッチなPCゲーマーの環境構築Z, 9/7)
》 トヨタ工場停止の原因は「ディスクの容量不足」 同一システム利用で、バックアップも作動せず (ITmedia, 9/6)
27日に行った定期保守作業の際、データベースにたまったデータの削除と整理をしたが、作業用ディスクの容量が不足していたため、エラーが起きてシステムが停止したという。
バックアップ機も同じシステム上で作動していたため、同様の障害が起きており、切り替えができなかった。関連: 保守作業中のディスク容量不足で発生したトヨタ国内全工場の稼働停止についてまとめてみた (piyolog, 9/7)
》 朝日新聞デジタル版の会員情報884人分流出 個別訪問で謝罪へ (ITmedia, 9/7)
》 Unbound 1.18.0 released (nlnetlabs.nl, 8/30)
The new default for the maximum UDP response size is 1232, with max-udp-size: 1232. This is similar to other resolvers. The new default is smaller and that makes it harder to get large responses. Thanks to Xiang Li, from NISL Lab, Tsinghua University.
》 遺伝子編集技術「CRISPR」を使ってがん細胞を健康な細胞に再プログラムすることに成功 (gigazine, 9/6)
》 パスワード管理アプリ「LastPass」から盗まれたデータが仮想通貨の盗難に悪用されている可能性 (gigazine, 9/6)
》 夏に繰り広げられたウクライナ軍の反攻作戦、忍耐力と適用力の戦い (航空万能論 GF, 9/5)
“反攻作戦の初期段階で躓いたウクライナ人は大規模編成の戦力運用能力、経験、部隊の質、限られた支援を考慮した上で「どこに自分達の強みがあるのか」を再検討、慣れ親しんだ小規模編成の戦力運用と砲撃戦による敵弱体化に作戦を切り替えた。新旅団が直面した問題を考えれば妥当な結論であり、もし大規模編成の戦力運用を継続していれば部隊間の連携問題を悪化させていた可能性が高く、より大きな損失を被って兵士からの信頼を失っていただろう”
》 ウクライナ軍、段ボール製ドローンこと PPDS を攻撃に使用?
ウクライナ 段ボール製ドローンでの攻撃 ロシア西部クルスク州の空軍基地を攻撃 (TBS, 9/1)
ウクライナ軍「段ボール製無人機」活用 低コストで120キロ飛行 (NHK, 9/2)
ウクライナ、1機3500ドルの「段ボール製ドローン」を配備…偵察用だが攻撃にも使用可能 (Business Insider, 9/6)
ウクライナ軍がロシア軍機を破壊した「段ボール製ドローン」のスペックや特徴を画像付きで詳しく解説 (gigazine, 9/6)
》 海賊がアメリカ西海岸に出没して船を襲い略奪を行っている (gigazine, 9/4)。「カリフォルニア州・オークランド河口付近」。
》 イーロン・マスクがTwitter買収をどういう経緯で決意したのかがイーロン・マスクの伝記で白日の下に (gigazine, 9/1)
》 Xがユーザーの学歴・職歴と生体情報の収集開始を予告 (gigazine, 9/1)。プライバシーポリシー改訂を解説した記事。
》 全世界で70万台以上のデバイスに感染してさまざまなランサムウェアギャングに利用される凶悪ボットネット「Qakbot」をFBIが解体 (gigazine, 8/30)、 ボットネットQakbotのテイクダウン:サイバーセキュリティにおけるFBIの取り組み (トレンドマイクロ, 9/7)
》 スポティファイ、ポッドキャスト巨額投資の苦闘 これまで10億ドル余りを費やしたが十分な成果は上がっていない (Wall Street Journal, 9/7)
》 中国、政府職員のiPhone業務使用を禁止 (Wall Street Journal, 9/6)。「その他の海外ブランドのデバイス」も禁止だそうです。
IntelのCPUに新たな脆弱性、Downfall。第6世代Skylakeから第11世代Rocket Lakeまで影響。情報漏えいの恐れ (2023.08.19)
Intel CPUの脆弱性『Downfall』の緩和策をWindows上で無効化できなくなる。パフォーマンス低下を防げなくなる (ニッチなPCゲーマーの環境構築Z, 2023.09.06)
なお、Windows環境でDownfallの緩和策を有効にするには、マザーボードのBIOS/UEFIのアップデートが必要になります。Downfallを緩和するマイクロコードを含んだBIOSへとアップデートをすることで緩和策が有効になります。言い換えるなら、BIOSアップデートをしなければ緩和策は有効にならずパフォーマンス低下もありません。いろいろ (2023.06.20) Barracuda Email Security Gateway Appliance
対応したはずの組織で「新たなバックドアが設置されたり、ネットワーク上で横展開したりするなど、攻撃者が永続性を確保しようとする継続的な攻撃活動が確認されている」事例があるそうで。
Barracuda Email Security Gateway(ESG)の脆弱性(CVE-2023-2868)を悪用する継続的な攻撃活動に関する注意喚起 (JPCERT/CC, 2023.09.05)
》 岸田“公邸忘年会”報道からわずか3カ月で…森まさこ首相補佐官(59)が娘と友人たちを首相官邸ツアーに招待していた! 「官邸の私物化」と波紋広げる (文春オンライン, 9/5)
》 ジャニー氏性加害、当事者の会が刑事告発の意向 海外での訴訟も検討 (朝日, 9/4)。いよいよというか、やっとというか、刑事事件になるかもです。
》 昨日からバズりまくっている動画(iPadが演奏中にフリーズ)でピアノを弾いている本人にお話を聞いてみた (office yamane, 9/4)
薗田:もともとiPadで演奏するようになったのは、コロナ中にあるコンサートで「できればiPadで演奏してほしい」と主催者から言われたのがきっかけです。(中略) とはいえ普段は念のために楽譜を持って行っているのですが、この時は出産の2ヶ月後で、頭が息子のパンパースでいっぱいでした。コンクール期間3週間分の荷造りのなか、あろうことか一次予選の楽譜をそっくり忘れてしまったんです・・・。
現地ですぐにコピー譜を用意すればよかったのですが、時間がなかったのと「iPadがあるから大丈夫だろう」という気の緩みもあって、しなかったんです。韓国ではコメント欄に「プロ失格」とかありましたが、そうだなと思って反省しています。
》 中国の「九段線」、10本目の線は、日本の領海・領空を侵して描かれている。【十段線】(追記あり) (pelicanmemo, 9/3)。中国の 2023 年版標準地図がやらかしている話。
日本にとって、この中国の標準地図は明らかに日本の主権を侵害しており、領土、領海・領空について定めた国際法に違反しているとはっきり主張できる事案だ。特に今年(2023年)の標準地図は、文字通り一線を越えている。日本政府はアジア諸国と連携をして、この中国の一方的な主張を非難して対抗してほしいものだ。
「九段線」は南シナ海だけのニュースではないし、他人事な問題ではない。あと、10 本目が出現したのは今年がはじめてではないそうで。
中国の標準地図ではじめて「九段線」に台湾の東に10本目が追加されたのは約10年前。 (中略) 数年ごとに繰り返されているはなしなので、次回またニュースで「新たに10本目が・・・」と報じていたらツッコミを入れてあげてください。
》 Internet Week 2023のURL変更に関する公表(経緯の公表) (JPNIC, 9/5)
》 イーロン・マスク氏“Xの広告収入減はユダヤ人団体の圧力” (NHK, 9/5)
》 最新版検出回避エンジンを組み込んだマルウェア「SeroXen」 (トレンドマイクロ, 9/6)
Hidden VNC については、たとえばこちら: 隠された(見えない)デスクトップに潜む脅威とその仕組み (吉川 孝志、菅原 圭 / MBSD Blog, 2018.09.14)
》 フィッシングキット16shopの分析、トレンドマイクロとインターポールのパートナーシップ (トレンドマイクロ, 9/4)
》 時刻同期のNTPとPTPの違い(PPS) (現場で必要なネットワーク技術入門)
》 「プレサンス」取り調べ録画録音 検察は任意の提出を拒否 「違法な取り調べを見せたくない」表れと弁護団 (KTV, 9/5)
》 東電が柏崎刈羽6号機の詳細設計認可を申請 再稼働へ審査第2段階に (朝日, 9/5)。不適格事業者ぶりが激しい tepco ですが。
あわせて提出した工事工程表には、電気料金算定の際に織り込んだ「25年4月再稼働」を前提に、核燃料を原子炉に入れる「燃料装荷」へ24年12月に進むスケジュールを盛り込んだが、「実際の再稼働時期は現時点で具体的に示せる状況にない」としている。6 号機、早くとも、さ来年ですか。予定は未定。
先行していた 7 号機はどうなったんでしたっけ?
東京電力に対する適格性判断の再確認に関する公開会合 (原子力規制委員会, 8/31)
柏崎刈羽原発、年内の再稼働難しく 9月から調査へ (日経, 8/31)
原子力規制委員会の事務局の原子力規制庁は31日、東京電力ホールディングス(HD)の柏崎刈羽原子力発電所(新潟県)の再稼働を巡り、原発事業者としての東電の「適格性」を再確認する会合を開いた。9月中旬にも現地調査を始める方針を示したことで年内の再稼働は難しくなった。
東電は柏崎刈羽原発7号機の10月再稼働をめざしていた。6月に電気料金を値上げした際はコスト計算の前提としてこの再稼働計画を織り込んでいた。
規制庁の現地調査は3カ月程度を要する見通しだ。現状では再稼働への地元同意を得られておらず、年内稼働も難しい情勢となってきた。早くとも来年のようですね。
令和5年度第2回新潟県原子力発電所の安全管理に関する技術委員会(令和5年9月1日開催) (新潟県, 9/1)
汚染水をめぐり東京電力が説明していないこと(1)汚染水は増え続ける (まさのあつこ / note, 9/3)
汚染水をめぐり東京電力が説明していないこと(2)ALPS処理水の定義が途中で変わったこと (まさのあつこ / note, 9/3)
汚染水をめぐり東京電力が説明していないこと(3/3)放出計画なるもの (まさのあつこ / note, 9/5)
関連:
7割は再び処理が必要 福島第1原発の「処理途上水」の実情とは (東京, 9/4)
》 大阪IRは事業者に甘い? 3年間延長された「解除権」のリスク (毎日, 9/5)。関連:
大阪万博「請け負えばやけどする」ゼネコンの本音 万博の華「海外パビリオン」の工事遅れが超深刻 (東洋経済, 9/5)
IR、大規模沈下は大阪市負担 段階的拡張計画を明記 (共同, 9/5)
大阪万博どうすればいい⑭ (建築エコノミスト 森山高至 ブラタカシ街歩きBlog, 9/4)。 最適地は「みさき公園」だと。
ツイート
固まったんじゃなくて、引き延ばされてんじゃん。
— 建築エコノミスト森山高至「土建国防論」執筆中 (@mori_arch_econo) September 5, 2023
ホントは断られかけてんのを、無理繰り延ばしてもらったんじゃねえの? https://t.co/euaDM2yhJS
》 米軍基地への中国人侵入者、スパイ活動の懸念 (Wall Street Journal, 9/4)
》 偽パルメザンチーズ対策、チップを埋め込め (Wall Street Journal, 8/28)
シカゴを拠点とするp-Chip社が開発した新しいシリコンチップは、ブロックチェーン(分散型台帳技術)を使用してデータを認証し、チーズの原料となる牛乳の生産者までさかのぼって追跡できる。 (中略) p-Chipは極端な暑さや寒さに強く、氷を通して読み取ることもでき、液体窒素での数年間の保管にも耐えられる。 (中略) 1個あたりのコストは数セントで、ペットの皮下に埋め込むチップと似ている。
》 ロシア、イラン製ドローン確保で無名の海運会社利用 (Wall Street Journal, 8/29)
今回の文書によると、ロシア船籍の5隻の船舶がこの1年間で、カスピ海経由でイランの港湾に至るルートを73回航行した。
いずれの船舶も米国の制裁対象になっていない。
》 米FTC、独禁法違反でアマゾンを月内にも提訴へ (Wall Street Journal, 9/6)
》 ヤラセと情熱ー川口浩探検隊の「真実」プチ鹿島著を読んで (島津秀泰 / note, 2/8)
》 名古屋大学等がAIで若者の早期退職を研究していることを個人情報保護法・労働法から考えたーダーク人材(追記あり) (なか2656のblog, 8/4)。ここに書いてなかったみたいなので今ごろメモ。 関連:
Z世代はなぜすぐ辞める? ―ダーク人材 (名古屋大学 鈴木智之研究室 / archive.is)
Point of view - 第216回 鈴木智之 ―今、求められる「就職選抜論」 (Web 労政時報, 2022.11.11)
『就職選抜論―人材を選ぶ・採る科学の最前線』|新刊紹介 (中央経済社note編集部 / note, 2022.04.19)、 BOOK REVIEW - 『就職選抜論―人材を選ぶ・採る科学の最前線―』 (Web 労政時報, 2022.05.27)
》 大量退校、玉砕美談…防衛大で今何が起きているか 教授が実名告発 (毎日, 8/3)。等松春夫氏。
――昨年3月の卒業生479人のうち72人が任官を辞退し、自衛隊を去ったことは驚きをもって報じられましたが……。
◆それも大変な問題ですが、実情はもっと深刻だからです。昨年で言えば、4月入学の新1年生488人のうち、1年以内に約20%、100人近くが退学してしまったのです。2、3年生で退学する学生も相当いますし、任官して幹部候補生学校に進んでから間もなく退校する者も少なくありません。
――読売新聞3月2日付朝刊では「今の若者は打たれ弱いから」などと理由が説明されていますね。
◆とんでもない。防大の現役教官として申し上げるが、それは違う。体力もあって努力もいとわず、良きリーダーや指揮官になるだろう、と思われる若者ほど幻滅して辞めるのです。私も彼らの悩みをじかに聞いてきました。そんな人材が辞めるのは自衛隊にとって由々しき事態です。その理由として挙げられているのは、学生舎での悪質上級生の問題と、 一部の教官と科目の質があまりに低いこと。
》 そのまま捨てても大丈夫?デジタル機器を処分する際に必ずやるべきこと (Kaspersky, 8/25)。Wi-Fi アクセス情報をクリアしましょう話。
Chrome 116.0.5845.179 (Mac / Linux) および Chrome 116.0.5845.179/.180 (Windows) 公開。 4 件のセキュリティ修正を含む。
Chrome 116.0.5845.172 (Android) も公開されている: Chrome for Android Update (Google, 2023.09.05)。Chrome 116.0.5845.179/.180 Desktop 版の内容を含む。
Chrome 116.0.5845.140 (Mac / Linux)、Chrome 116.0.5845.140/.141 (Windows) 公開。 1 件のセキュリティ修正を含む。
Chrome 116.0.5845.163 (Android) も公開されている: Chrome for Android Update (Google, 2023.08.29)。Chrome 116.0.5845.140/.141 Desktop 版の内容を含む。
出てました。
Firefox 117 がリリースされた (mozillaZine, 2023.08.30)
Firefox for Android 117 がリリースされた (mozillaZine, 2023.08.30)
Thunderbird 102.15.0 がリリースされた (mozillaZine, 2023.08.31)
Thunderbird 115.2.0 がリリースされた (mozillaZine, 2023.08.31)。ひきつづきテスト用。
2023.09.13 追記:
Firefox 117.0.1 / ESR 115.2.1 / ESR 102.15.1、Thunderbird 102.15.1 / 115.2.2 が公開されました。セキュリティ修正を含みます。 また Thunderbird 102.15.0 以降のヘルプメニューから Thunderbird 115 へ手動更新できるようになりました。
iida さん情報ありがとうございます。
Mozilla Foundation Security Advisory 2023-40 Security Vulnerability fixed in Firefox 117.0.1, Firefox ESR 115.2.1, Firefox ESR 102.15.1, Thunderbird 102.15.1, and Thunderbird 115.2.2 (Mozilla, 2023.09.12)。「他の製品」で 0-day だそうで。
Firefox 117.0.1 がリリースされた (mozillaZine, 2023.09.13)
Thunderbird 102.15.1 がリリースされた (mozillaZine, 2023.09.13)
Thunderbird 115.2.1 がリリースされた (mozillaZine, 2023.09.12)
Thunderbird 115.2.2 がリリースされた (mozillaZine, 2023.09.13)
Trend Micro Mobile Security 9.8
アラート/アドバイザリ : Trend Micro Mobile Securityに関する複数の脆弱性について(2023年8月) (トレンドマイクロ, 2023.08.29)。 SP5 Critical Patch 6 (Build 3311) で 3 件 (いずれも XSS) を修正。
》 「OpenSSL」は毎年4月と10月の定期アップデートに ~更新プロセスを見直し (窓の杜, 8/29)
》 「排除ベンチ」の排除に初めて成功…野宿者支援に取り組む市議が平塚駅前ベンチ改修に込めた思いは (東京, 9/4)。おめでとうございます。
》 ドラマ「VIVANT」で堺雅人演じる謎の部隊「別班」は実在する?内情知る人物に聞いた (牧野愛博 / 朝日, 9/3)
》 LibreSSL 3.8.1 Release Notes (LibreSSL, 8/31)。まだ development release です。 iida さん情報ありがとうございます。