パスワードを忘れた? アカウント作成
13755072 story
Windows

Windowsのゼロデイ脆弱性が再びTwitterで公表される 28

ストーリー by headless
削除 部門より
Windowsの新たなゼロデイ脆弱性が再びTwitterで公表された。Twitterでは8月にタスクスケジューラーのゼロデイ脆弱性が公表されているが、今回も同じTwitterユーザー(@SandboxEscaper)によるものだ(Bleeping Computerの記事Ars Technicaの記事On MSFTの記事PoC)。

今回の脆弱性はWindows 10(およびServer 2016以降)のData Sharing Serviceに存在し、関数「RpcDSSMoveFromSharedFile」を呼び出すことで権限のないユーザーが任意のファイルを削除できるというものだ。GitHubで公開されているPoCではpci.dllの削除が指定されており、実行するとWindowsが起動できなくなる。手元の環境では、24日にリリースされたばかりのWindows 10 Insider Preview ビルド18267(19H1)でも削除されることが確認できた。

ただし、削除のタイミングが難しいとのことで、PoCでは処理をループさせているが、状況によっては削除できないこともあるようだ。悪用の方法としてはDLLなどを削除してパスの通った別の場所に格納した同名ファイルを読み込ませるDLLハイジャックが提示されているものの、こちらも現実的に実行するのは難しそうだ。そのため、タスクスケジューラーのゼロデイ脆弱性の時とは異なり、PoCのソースコードが攻撃に転用される可能性は低いとみられている。

なお、既にMicrosoft EdgeやInternet ExplorerではPoCのアーカイブのダウンロードをブロックするようになっており、ChromeやFirefoxも警告を表示する。また、PoCの実行ファイルはWindows Defenderウイルス対策などのセキュリティソフトウェアの最新定義ファイルでマルウェアとして検出される。
13752872 story
MacOSX

macOS 10.14で導入されたアプリの認証制度、今後認証なしの 「野良アプリ」が実行できなくなる可能性も 26

ストーリー by hylom
本当に意味があるのか 部門より

macOS 10.14(Mojave)ではMac App Store以外から入手したアプリケーションの初回実行時に新たに「認証」のチェックを行う機能が実装された(Appleの開発者向けページ)。macOS 10.14では認証のないアプリケーションでも実行できるものの、今後リリースされるmacOSでは認証のないアプリケーションの実行がブロックされるようになる可能性もあるようだ。そのため、Appleは開発者に対し認証を取得するよう呼びかけている

AAPL Ch.がこの問題をまとめているが、この認証システムはMac App Store外で配布されるアプリケーションを対象としており、開発者は作成したアプリケーションをAppleに送信して審査をクリアすることで認証を取得できる。macOS 10.14ではApp Store外からダウンロードしたソフトウェアの初回実行時に認証の有無がチェックされ、認証がある場合は「悪質なソフトウェアが含まれていない」との旨を表示する。

認証を取得するための審査は自動化されており、現時点では単にセキュリティチェックが行われるだけのようだが、審査にはAppleに開発者登録を行なって開発者IDを取得しなければならない。Appleはこれについて、マルウェア対策のためと理由を説明している。

懸念されるのは、今後認証の取得時にApple Developer Programの有料プラン(現時点では年間1万1,1800円)の登録が必要になる可能性だ。現時点では特にAppleへの登録などを行わずとも、App Store以外でアプリケーションを配布し、利用者は自由にそれをインストールすることができた。もし認証の取得に有償登録が必要になった場合、macOS向けアプリケーションの配布のハードルが大きく高くなってしまう。また、認証のための審査でAppleの意に沿わないアプリケーションが排除されてしまう可能性もある。

13750274 story
携帯通信

Google、オフラインで共有したAndroidアプリを安全にインストールする機能のベータ提供を開始 9

ストーリー by hylom
P2P配布を可能にするという話 部門より
headless曰く、

Googleは19日、Google Playから入手したAndroidアプリのAPKファイルをオフラインでピアツーピア共有し、安全なインストールを可能にする機能のベータ版提供開始を発表した(Android Developers Blog9to5GoogleVentureBeat)。

Googleは6月からGoogle Playで公開されるアプリのAPKファイルにセキュリティ関連メタデータの追加を開始しており、このデータを使用して正規のAPKファイルであることを確認する。この機能を利用するにはGoogle Playが認めたピアツーピアアプリが必要となり、当初対応するのは「SHAREit」のみとなっているが、今後数週間のうちに「Files Go by Google」や「Xender」でも利用可能になるとのこと。

通信コストの高い地域や通信速度の遅い地域ではAPKファイルを共有してアプリをインストールするといったことがよく行われている。ユーザーはこのサービスを利用することで安全な共有が可能になるだけでなく、アプリがGoogle Playのライブラリーに追加されるため、アップデートを受け取ることも可能だ。

開発者にとってはGoogle Playで認証された新たなアプリ配布手段が追加されることになり、ユーザー数の増加も期待できる。変更はGoogle Play側ですべて行われるため、開発者側での対応は必要ない。

13750133 story
Intel

MeltdownやSpectre脆弱性を性能低下無しに回避する手法が考案される 48

ストーリー by hylom
朗報となるか 部門より

今年1月に発見されたCPUの脆弱性「Meltdown」や「Spectre」では、対策を行うとCPUの演算性能が低下することが知られている(過去記事)。これに対し、米マサチューセッツ工科大学が演算性能の低下無しに脆弱性対策を行う手法を開発したという(PC WatchTechCrunch)。

この手法はプログラムが別のプログラムによって使用されているキャッシュにアクセスすることを防ぐためにキャッシュメモリの割り当てを制御するもので、OS側の最小限の修正で実現でき、実装が容易で性能の低下もないという。

13749279 story
プライバシ

プライバシーとセキュリティを念頭に置いたFacebookの新デバイス、データはターゲティング広告に 8

ストーリー by headless
利用 部門より
Facebookは8日に発表したビデオコミュニケーションデバイス「Potral」について、プライバシーとセキュリティを念頭に置いて作ったと主張しているが、それでもユーザーのデータは収集してターゲティング広告に使用するという(Recodeの記事The Vergeの記事Android Policeの記事)。

Portalのマーケティングを率いるDave Kaufman氏はRecodeのKurt Wagner氏に対し、通話ログやアプリ利用状況などPortalが収集する一切のデータをターゲティング広告に使用することはない、と説明していたが、その説明は誤りだったそうだ。

後日Facebookの広報担当者がRecodeに電子メールで伝えたところによると、Portalの通話機能はMessengerのインフラストラクチャー上に構築されているため、通話ログはMessengerを実行する他のデバイスと同様に収集されるのだという。通話ログに加え、アプリ利用状況などPortalで収集されるデータは、Facebookのプラットフォーム上で広告を表示するための情報として使われるとのこと。

これについて製品担当VPでPortalの責任者を務めるRafa Camargo氏は、不正確な情報を提供したことをWagner氏に電話で謝罪。技術的にデータを広告ターゲティングに利用可能であっても、実際に使われることは知らなかったという。Portal自体は広告を表示しないため、Portalチームではデータをターゲティングに使用する計画はなく、それが混乱の原因になったとのことだ。
13748674 story
政治

在英エクアドル大使館がジュリアン・アサンジ氏に出した館内での行動に関する指令書(猫の世話含む) 13

ストーリー by headless
衛生 部門より
英国・ロンドンのエクアドル大使館が、長年保護しているジュリアン・アサンジ氏に対し、11日付で出したとされる大使館内での行動に関する指令書がリークしている(Código Vidrioの記事The Gateway Punditの記事The Guardianの記事The Vergeの記事)。

アサンジ氏は2010年にロンドンで逮捕されたが、保釈中の2012年に政治亡命を求めてエクアドル大使館に入り、現在まで滞在を続けている。大使館の外では保釈中に逃亡したアサンジ氏を逮捕しようと英警察が待ち構えているため、アサンジ氏は大使館外に出ることはできないものの、大使館内では比較的自由に行動できていたようだ。しかし大使館は3月、アサンジ氏がエクアドルと他国の間で外交問題を引き起こすような政治的発言をしないという約束を破ったとして、アサンジ氏のインターネットアクセスをブロックする。また、訪問者をアサンジ氏の弁護団に限定し、警備会社の契約も打ち切ったという。

リークした文書は(PDF)はスペイン語で書かれたもので、全9ページ、規定は32項目におよび、守られない場合はアサンジ氏に対する外交的庇護を打ち切ると明記されている。英訳が添付されるとの記載もみられ、英訳の文書(PDF)も公開されているが、(文書自体が本物だとして)アサンジ氏に渡された英訳と同じものなのか、リークしたスペイン語の文書を英訳したものなのか明確ではない。

規定は訪問者・通信・医療の3つに大きく分けられており、訪問者に関しては事前に書面による承認が必要なことや、訪問者を大使館が記録すること、規定を守らない訪問者は英当局に通報することなどが定められている。通信についてはWi-Fiサービス提供やアサンジ氏が使用できる通信機器、3月にブロックの原因となった外交上の問題を引き起こす発言を控えることなどが記載されている。
13747205 story
インターネット

主要ブラウザーは2020年にTLS 1.0/1.1を無効化する計画 13

ストーリー by hylom
あと1年ちょっと 部門より
headless曰く、

10月15日、メジャーブラウザーのTLS 1.0/1.1無効化計画が一斉に発表された(Google Security BlogMicrosoft Edge Dev BlogWebKit公式ブログVentureBeat)。

GoogleはChrome 72(2019年1月に安定版リリース見込み)でTLS 1.0/1.1を非推奨とし、これらのバージョンを使用するサイトで警告が表示されるようになる。さらにChrome 81(2020年1月に早期リリース見込み)ではTLS 1.0/1.1が無効化される。

Microsoftは2020年前半にその時点でサポートされているバージョンのMicrosoft EdgeとInternet Explorer 11のデフォルトでTLS 1.0/1.1を無効にする。Appleは2020年3月以降、iOSとmacOSのアップデートでSafariからTLS 1.0/1.1のサポートを完全に削除する計画だという。

MozillaはFirefoxでのTLS 1.0/1.1サポートを2020年3月に無効化する計画だ(Mozilla Security Blogの記事)。プリリリース版のFirefoxで無効化されるのは2020年3月よりも前になる。具体的な日程については後日発表するとのことだ。

13746400 story
情報漏洩

韓国海軍駆逐艦のコンピュータシステムは0.8日に1回クラッシュする? 78

ストーリー by hylom
何もしていないのに壊れる、のだろうか 部門より

朝鮮日報日本語版によると、2000年代に建造された韓国海軍の「KDX-Ⅱ」駆逐艦に搭載されているコンピュータ指揮システムは最悪の場合0.8日に1回の頻度で作動停止しているという。

この「0.8日に1回」というのは駆逐艦「王建」のケースだが、このシステムの2013年の作動停止頻度は21.7日に一回のペースだったとのことで、年々作動停止の間隔が短くなっているようだ。他の駆逐艦についても、平均停止件数は2013年時点で5.3日に1回、今年は1.4日に1回とのことで、全体的にシステム停止が増加している模様。また、KDX-Ⅱの前身となるKDX-Ⅰについても同様にシステム停止が頻繁に発生しているという。

なお、システム停止後の再起動には10〜30分ほどが必要になるそうだ。そのため、韓国海軍は2〜3日1回手動でシステムを再起動しているとのこと。

13746221 story
情報漏洩

聖教新聞社のECサイトが改ざんされる。カード情報を盗む偽の決済画面が設置される 24

ストーリー by hylom
改ざんされたならなんでもありな気はする 部門より

聖教新聞社のECサイト「SOKAオンラインストア」が不正アクセスを受けて改ざんされ、利用者のクレジットカード番号が不正に窃取される事件が発生した(日経xTECH)。セキュリティ研究者の徳丸浩氏によると、ここで使われたのは「新しい手口」だという。

今回の攻撃手法については、サイトの運営を委託されていたトランスコスモスが調査結果を発表している(発表PDF)。これによると、偽のカード決済画面の設置とECサイトのシステムの改ざんが行われており、決済時に偽の決済画面に遷移するようになっていたという。偽の決済画面ではカード情報を入力するとその情報を記録、もしくは攻撃者に送信した上で決済エラーが発生した旨を表示して正規の決済画面に遷移させていたようだ。

昨今ではセキュリティ対策としてカード情報を保持しないことが一部で推奨されているが、こういった「偽の決済画面」を使った手法ではカード情報を保持しなくとも攻撃によって情報漏洩が発生してしまうとし、徳丸氏は『クレジットカード情報「非保持化」では対策できないものであり、今後のクレジットカード情報漏洩事件の主流となる可能性があります。』と述べている。

13745250 story
Facebook

Facebook、アクセストークン不正取得問題で被害状況を確認可能なヘルプページを公開 5

ストーリー by hylom
そんな大ごとになっていたのか 部門より
headless曰く、

Facebookは12日、9月に発生した「プロフィールを確認」ツールの脆弱性を狙った攻撃について、より詳細な被害範囲などを明らかにし、アカウントの被害状況を確認可能なヘルプページを公開した(Facebookのニュース記事)。

プロフィールを確認」(View As)ツールは自分のプロフィール画面を他のユーザーが見た時の見え方を確認するツールだが、2017年7月から2018年9月まで複数のバグにより、指定した「他のユーザー」のアクセストークンを取得可能な状態になっていた。Facebookでは9月14日から異常なアクティビティーを検知、9月25日には攻撃と断定して脆弱性を特定し、対策を行った。当初の発表ではアクセストークンを不正に取得されたユーザーの数を約5,000万人としていたが、実際には3,000万人程度だったという。

攻撃者はFacebook上の「友達」とつながる複数のアカウントを制御下におき、自動処理によりアカウントを切り替えていくことで友達やその友達のアクセストークンおよそ40万人分を取得できる状態にあった。ただし、この段階ではアクセストークンを取得するのではなく、各ユーザーのプロフィール画面を読み取って友達のリストを収集し、そのリストの一部を使用しておよそ3,000万人のアクセストークンを不正に取得したそうだ。

攻撃者はそのうち1,500万人についてプロフィールに設定された連絡先(電話番号または電子メールアドレス、またはその両方)にアクセスしており、1,400万人は連絡先の情報に加えてユーザー名や性別、誕生日などを含むさらに詳細な情報にアクセスしていたという。残りの100万人については、一切のユーザー情報にアクセスされた形跡がないとのこと。

自分のアカウントが影響を受けたかどうかについては、Facebook Help Centerで確認(要ログイン)できる。本件は現在、米連邦捜査局(FBI)が捜査しており、攻撃者の背後関係などは公表しないよう求められているとのことだ。

13744831 story
インターネット

フィットネスアプリ企業、パスワード無しのサーバーで数百万の個人情報を管理 37

ストーリー by hylom
どうしてこうなった 部門より
taraiok曰く、

フィットネス関連サービスを提供している米FitMetrixが、パスワードなしで顧客情報を管理するサーバーを運用していたためにユーザー情報が大量に漏洩する事態になったという(The TribuneTechCrunchHacken.ioSlashdot)。

漏洩したデータは数百万件にも上るようだ。同社は同社は心拍数やその他のフィットネスメトリック情報を表示するフィットネス追跡ソフトウェアを開発している企業。今年の初めにスポーツ関連サービスの予約・決済・スタッフ管理・顧客管理などを行う大手企業Mindbodyにより1530万ドルで買収されている。

10月5日にこのことを発見したセキュリティ研究者は、FitMetrixの3つのサーバーで顧客データが漏れていることを発見した。どのくらいの期間、サーバーが公開されたのかは不明だが、9月にIoT検索エンジンであるShodanにデータが登録されていたことが判明しているという。発見者であるHacken.ioのサイバーリスク研究担当ディレクターのBob Diachenko氏によると、1億1,350万のデータベースを発見した。

直接影響を受けるユーザー数は不明。各レコードにすべてにユーザーデータが含まれているわけではないものの、名前、電子メール、誕生日、電話番号、緊急連絡先、身長、体重、靴のサイズなどの情報が部分的に含まれていたとしている。Mindbodyの最高情報セキュリティ責任者Jason Loomisは、木曜日の電子メールで、リスクを認識しており、「この脆弱性を解消するための即時の対策」を講じたと述べている。

13744403 story
医療

植込み型心臓電気生理学デバイス用プログラマーにリモートから患者を攻撃可能な脆弱性 11

ストーリー by hylom
隠れた脆弱性が多そうな分野 部門より
headless曰く、

Medtronic製の植込み型心臓電気生理学デバイス(CIED)用プログラマーのソフトウェアアップデート機能で、リモートから患者を攻撃可能な脆弱性が見つかったそうだ(セキュリティ情報PDFFDAの発表RegisterSoftpedia)。

対象となるプログラマーはCareLink 2090とCareLink 29901で、脆弱性が見つかったのは同社のソフトウェア配布ネットワーク(SDN)からインターネット経由でアップデートする機能だ。Medtronicは当初、外部からの脆弱性報告を受けてセキュリティ情報を2月に公開し、6月にも更新情報を公開していた。この段階では特定のファイルを定期的にチェックするだけで対応可能と考えられていたようだ。しかし、米食品医薬品局(FDA)とともに脆弱性を精査した結果、脆弱性を悪用することでリモートから患者に危害を加えることが可能なことが判明したという。

Medtronicは対策としてインターネット経由のアップデート配布を無効化しており、アップデートが必要な場合は同社の担当者がUSB経由でインストールする。脆弱性自体を修正するアップデートは現在のところ開発されていないようだ。CIEDのプログラム設定にネットワーク接続は必要なく、そのほかのネットワーク接続が必要な機能は今回の脆弱性の影響を受けないとのことだ。

13743587 story
spam

採掘できない暗号通貨にも対応する偽採掘アプリ 27

ストーリー by headless
現実 部門より
採掘のできない暗号通貨を含むAndroid向けの偽採掘アプリが多数発見されたとして、Fortinetが注意喚起している(Fortinetのブログ記事Softpediaの記事)。

膨大な計算が必要となる暗号通貨取引等の検証に協力することで報酬を得る採掘(マイニング)は、消費電力増大やWebサイトへのスクリプト埋め込みなどが話題になることも多い。ただし、暗号通貨の中にはRipple(XRP)やTether(USDT)のように採掘の仕組みを用意していないものもあり、こういった暗号通貨への対応をうたう採掘アプリは確実に偽物だ。Rippleの偽採掘アプリはESETが2月にGoogle Playで公開されているのを発見・報告しているが、今回の偽採掘アプリはGoogle Play以外でAPKを配布する、いわゆる野良アプリらしい。

偽採掘アプリの画面には、採掘した暗号通貨の金額とハッシュ値の計算速度表示、「START」ボタンが配置されている。STARTを押すと現在の計算速度が表示されるのだが、数字は単に乱数を生成して表示しているだけだという。また、暗号通貨の採掘量は関数が実行されるたびに一定の数値を加算するだけのようだ。メニューには採掘した暗号通貨を引き出すオプションも用意されているが、確認画面で「Yes」を選ぶとワレットのアドレスが正しくないといったエラーメッセージが必ず表示され、決して引き出すことはできない。

このアプリの開発者「lovecoin」は暗号通貨の名前部分を入れ替えた同様のアプリを複数公開しているという。アプリには広告を表示するコードが含まれており、広告収入を得ることが目的とみられる。そのため、Fortinetではこれらのアプリについて、ユーザーをだましてアドウェアをダウンロードさせるものだと述べている。
13743583 story
Windows

Windows 10 Creators Updateのサポートが終了 56

ストーリー by headless
終了 部門より
Windows 10 バージョン1703(Creators Update) Home/Proエディションのサポートが10月9日で終了した(WindowsライフサイクルのファクトシートComputerworldの記事Softpediaの記事Neowinの記事)。

Windows 10 バージョン1703のHome/Proエディションに対する更新プログラム提供は、9日にリリースされたKB4462937(OSビルド 15063.1387)が最後となる。一方、Enterprise/Educationエディションは2019年10月までバージョン1703のサポートが続く。また、Windows 10 Mobile バージョン1703は2019年6月までサポートされることになっている。

ただし、2016年8月にリリースされたWindows 10 Mobile バージョン1607(Anniversary Update)のサポートも10月9日で終了となっているが、こちらは4月の更新プログラムKB4093119(OSビルド 14393.2189)を最後に更新プログラムは提供されていないようだ。Home/Proエディションではバージョン1607のサポートが4月に終了しており、これに合わせて終了してしまった感じにも見える。
13741575 story
Google

Google+、終了へ 60

ストーリー by hylom
Linus氏が使っていたような 部門より

Googleが8日、Google+の一般向けサービスを終了すると発表した。Google+が消費者の期待に応えるようなサービスでありつづけるには大きなチャレンジが必要であり、その一方でGoogle+はあまり使われていないことからサービス終了を決めたという(AFPITmedia)。

また発表によると、GoogleはGoogle+のAPIの一部に不具合があり、ユーザーが一部ユーザーのみが閲覧できるように設定されたプロフィールが、API経由で本来閲覧権限のないユーザーからも閲覧できるようになっていたという。閲覧できたデータはPeaple APIで取得できるものだけとのこと。メッセージや電話番号、そのほかGoogleアカウントに紐付けたデータなどが対象外。この問題は2018年3月に修正されているとのこと。

Googleはこの問題が悪用された形跡はないとしている。この不具合の発表が遅れたのは、当時Facebookの情報流出問題が話題になっており、そのタイミングでの発表はまずいと思ったのが理由のようだ。

typodupeerror

身近な人の偉大さは半減する -- あるアレゲ人

読み込み中...