Windows 10では、ユーザーの承認なくUWPアプリにファイルシステムへのアクセスを許可してしまうバグがあるそうだ(Bleeping Computerの記事、 On MSFTの記事)。

UWPアプリではアクセス可能なファイルシステム上の場所が制限されており、既定ではアプリのインストールフォルダーやデータフォルダー、一時フォルダー内のファイルやフォルダーにのみアクセスできる。ほかの場所にアクセスするにはファイルピッカーを使用するか、アプリのマニフェストで宣言する必要がある。

マニフェストでは「DocumentsLibrary」や「MusicLibrary」のようにライブラリフォルダーへのアクセスを指定するほか、「broadFileSystemAccess」でユーザーがアクセス権を持つすべての場所へのアクセスを指定することも可能だ。しかし、broadFileSystemAccessを宣言した場合、最初の実行時にシステムがユーザーにアクセスを許可するかどうか要求することになっているが、実際には何も表示されないままアクセスが可能になってしまうのだという。

あるAnonymous Coward曰く、

警察がドローンのハイジャック対策に乗り出したという（産経新聞）。

昨今ではさまざまなイベントでドローンが活用されるようになっているが、こういったドローンに対し不正アクセスを行い、機体の制御を乗っ取るという攻撃が考えられるという。また、ドローン自体の不具合で事故が起こる可能性も危惧されている。

こういった問題は海外でも危惧されており、たとえばイギリスではDJIの「Matrice 200シリーズ」に対しファームウェアの不具合で突然墜落するという問題が確認され当局が警告を出す事態になっている（TechCrunch）。

トレンドマイクロがユーザーに周知せずに個人情報を収集していた問題を受け、AppleはApp Storeでの同社製アプリの配信を停止している。これに対し10月31日付けでトレンドマイクロが状況を説明する文書を公開した（ITmedia、窓の杜）。

これによると、トレンドマイクロはAppleがアプリケーションによる個人情報収集について厳しい制限を課していることを肯定的に評価するいっぽう、自社による個人情報収集に対しては「一定の履歴データを収集することは、想定しうる被害を最小限にとどめるために当社にとって必要」として正当化しており、これがAppleとの間で「見解の相違」となっているという。

これに対し、セキュリティ研究者の高木浩光氏は「業界の信用を傷つける思想」と批判、抗議するべきと訴えている。

あるAnonymous Coward曰く、

米国政府機関のある職員が仕事用コンピュータでポルノを見た結果、政府のネットワークがマルウェアに感染していたことが判明したそうだ。米内務省の捜査によると、サウスダコタ州にある人工衛星の画像解析施設「EROSデーターセンター」の従業員が何千ものポルノページを見た結果、米国地質調査所（USGS）ネットワークがマルウェアに感染したという（TechCrunch、報告書[PDF]、Slashdot）。

原因となったポルノ画像の多くは、個人用のUSBデバイスやAndroid端末に保存されていた。しかも、これらの端末は従業員が使用している政府のコンピュータに接続していたとしている。調査結果は、今月初めに報告書の形で公開されたが、米国政府のウェブサイトに目立たない形で置かれていたことから、ほとんど報道されなかったという。

内務省の調査官はUSGSに対して、フィルタでポルノサイトを除外すること、従業員のウェブ使用履歴を定期的に監視することを求めたとしている

headless曰く、

Microsoft Edgeで「download chrome」をBing検索すると、検索結果の先頭に偽のGoogle Chromeの広告が表示されていたそうだ（発見者のツイート、On MSFT、How-To Geek、Softpedia）。

Bingで「download chrome」を検索すると、通常は検索結果の先頭に本物のGoogleが出稿した広告が表示される。しかし、発見者がTwitterに投稿した動画によれば、少なくとも何度か検索を繰り返すと「Get Chrome | Download Chrome Today | google.com」という見出しの広告が表示されたという。

広告には通常の検索結果と同様にURL（の一部）として「www.google.com」と表示されるが、実際のリンク先は「www.googleonline2018.com」というドメインで、Chromeの偽ダウンロードページが表示される。このページからダウンロードしたChromeSetup.exeはGoogleが署名したものではない。現在、偽サイトはダウンしているようだが、ChromeやFirefoxではこのドメインを詐欺サイトとしてブロックするのに対し、Microsoft EdgeやInternet Explorerではブロックの対象になっていないようだ。

報告を受けたBingは、この広告を削除し、出稿したアカウントをブロックしたと発見者に返信している。ただし、表示と異なるURLへのリンクが認められた理由などについては説明がない。

なお、Bingでは4月にも同様の広告が表示され、削除していたそうだ。この時にダウンロードしたファイルをBleeping Computerが調べたところ、アドウェアを多数バンドルしたインストーラーで、最終的にはポルトガル語版のChromeがインストールされたとのことだ。

headless曰く、

10月25日にリリースされたX.Org Server 1.20.3では、2年近く前から存在し、最近発見された権限昇格や任意ファイル上書きが可能になる脆弱性が修正されている（アナウンス、Phoronix）。

この脆弱性CVE-2018-14665は、コマンドラインパラメーター（-modulepathおよび-logfile）の検証が適切に行われないことが原因だ。そのため、X.Org Serverが特権実行されている場合に権限昇格（-modulepath）または任意ファイル上書き（-logfile）が可能になる（セキュリティアドバイザリー）。

原因となった変更は2016年5月にコミットされたもので、2016年11月リリースのX.Org Server 1.19.0で導入され、X.Org Server 1.20.2まで脆弱性の影響を受ける。X.Org Server 1.20.3ではX.Org Serverが特権実行されている場合にこれらのコマンドラインパラメーターを無効化する形で修正が行われた。

headless曰く、

米国のドナルド・トランプ大統領がiPhoneで通話する内容を中国やロシアが盗聴しているとThe New York Times（NYT）が報じたことに対し、中国外務省の華春瑩報道官が異例の反論コメントを出している（華氏の記者会見内容、South China Morning Post）。

NYTが主張する盗聴の方法は携帯電話ネットワークに侵入して通信内容を傍受するといったものだ。匿名の政府関係者の証言によれば、中国とロシアが大統領の携帯電話の会話を盗聴していることを米諜報機関がつかんでいるとのことだが、特に証拠は示されていない。トランプ氏は盗聴されないようにホワイトハウスの有線電話を使用するよう言われているが、iPhoneを使い続けているという。記事では盗聴の可能性は携帯電話の機種と無関係だと述べているにもかかわらず、大統領が使用するiPhoneに問題があるかのようにミスリードする内容になっている。

これについて華氏は10月25日の記者会見で、報道内容はNYTが嘘新聞だということを示す新たな証拠を付け加えるだけのものだと批判し、米国にはアカデミー賞脚本賞を取ろうとして努力している人がいると皮肉った。iPhoneが盗聴される可能性を気にするならHuaweiの携帯電話を使えばいいと述べ、絶対的なセキュリティを目指すなら現代的な通信デバイスの使用をすべてやめ、外の世界を遮断すればいいとも述べている。

一方、トランプ大統領は、携帯電話を使用するのは政府の許可が出た時だけで、ごくまれだと主張し、NYTは嘘ニュースだとツイートしている。

headless曰く、

Microsoftは10月26日、Windows 10のWindows Defenderウイルス対策をサンドボックス内で実行できるようになったことを発表した（Microsoft Secure、Neowin、On MSFT）。

Windows Defenderウイルス対策は高い特権で実行されるため、攻撃の標的になりやすい。実際に、細工したファイルをスキャンさせることでリモートからの任意コード実行が可能になる脆弱性などが過去に発見されている。このような脆弱性を狙った攻撃に対しては、Windows Defenderウイルス対策のサンドボックス内実行が有効な防御策となる。

Microsoftでは現在、Windows Insider Program参加者を対象にサンドボックス内実行を順次有効化しており、フィードバック内容を分析して実装を改善していくという。ほかのユーザーもWindows 10バージョン1703以降ではシステム環境変数「MP_FORCE_USE_SANDBOX」を追加して値に「1」をセットしてから再起動すれば、サンドボックス内実行を有効化できる。サンドボックス内実行が有効になった状態では、「MsMpEng.exe」とともに「MsMpEngCP.exe」が実行されるようになる。これらのプロセスの実行状態を確認するには、Process Explorerを使用すればいい。

Windowsの新たなゼロデイ脆弱性が再びTwitterで公表された。Twitterでは8月にタスクスケジューラーのゼロデイ脆弱性が公表されているが、今回も同じTwitterユーザー(@SandboxEscaper)によるものだ(Bleeping Computerの記事、 Ars Technicaの記事、 On MSFTの記事、 PoC)。

今回の脆弱性はWindows 10(およびServer 2016以降)のData Sharing Serviceに存在し、関数「RpcDSSMoveFromSharedFile」を呼び出すことで権限のないユーザーが任意のファイルを削除できるというものだ。GitHubで公開されているPoCではpci.dllの削除が指定されており、実行するとWindowsが起動できなくなる。手元の環境では、24日にリリースされたばかりのWindows 10 Insider Preview ビルド18267(19H1)でも削除されることが確認できた。

ただし、削除のタイミングが難しいとのことで、PoCでは処理をループさせているが、状況によっては削除できないこともあるようだ。悪用の方法としてはDLLなどを削除してパスの通った別の場所に格納した同名ファイルを読み込ませるDLLハイジャックが提示されているものの、こちらも現実的に実行するのは難しそうだ。そのため、タスクスケジューラーのゼロデイ脆弱性の時とは異なり、PoCのソースコードが攻撃に転用される可能性は低いとみられている。

なお、既にMicrosoft EdgeやInternet ExplorerではPoCのアーカイブのダウンロードをブロックするようになっており、ChromeやFirefoxも警告を表示する。また、PoCの実行ファイルはWindows Defenderウイルス対策などのセキュリティソフトウェアの最新定義ファイルでマルウェアとして検出される。

macOS 10.14（Mojave）ではMac App Store以外から入手したアプリケーションの初回実行時に新たに「認証」のチェックを行う機能が実装された（Appleの開発者向けページ）。macOS 10.14では認証のないアプリケーションでも実行できるものの、今後リリースされるmacOSでは認証のないアプリケーションの実行がブロックされるようになる可能性もあるようだ。そのため、Appleは開発者に対し認証を取得するよう呼びかけている。

AAPL Ch.がこの問題をまとめているが、この認証システムはMac App Store外で配布されるアプリケーションを対象としており、開発者は作成したアプリケーションをAppleに送信して審査をクリアすることで認証を取得できる。macOS 10.14ではApp Store外からダウンロードしたソフトウェアの初回実行時に認証の有無がチェックされ、認証がある場合は「悪質なソフトウェアが含まれていない」との旨を表示する。

認証を取得するための審査は自動化されており、現時点では単にセキュリティチェックが行われるだけのようだが、審査にはAppleに開発者登録を行なって開発者IDを取得しなければならない。Appleはこれについて、マルウェア対策のためと理由を説明している。

懸念されるのは、今後認証の取得時にApple Developer Programの有料プラン（現時点では年間1万1,1800円）の登録が必要になる可能性だ。現時点では特にAppleへの登録などを行わずとも、App Store以外でアプリケーションを配布し、利用者は自由にそれをインストールすることができた。もし認証の取得に有償登録が必要になった場合、macOS向けアプリケーションの配布のハードルが大きく高くなってしまう。また、認証のための審査でAppleの意に沿わないアプリケーションが排除されてしまう可能性もある。

headless曰く、

Googleは19日、Google Playから入手したAndroidアプリのAPKファイルをオフラインでピアツーピア共有し、安全なインストールを可能にする機能のベータ版提供開始を発表した（Android Developers Blog、9to5Google、VentureBeat）。

Googleは6月からGoogle Playで公開されるアプリのAPKファイルにセキュリティ関連メタデータの追加を開始しており、このデータを使用して正規のAPKファイルであることを確認する。この機能を利用するにはGoogle Playが認めたピアツーピアアプリが必要となり、当初対応するのは「SHAREit」のみとなっているが、今後数週間のうちに「Files Go by Google」や「Xender」でも利用可能になるとのこと。

通信コストの高い地域や通信速度の遅い地域ではAPKファイルを共有してアプリをインストールするといったことがよく行われている。ユーザーはこのサービスを利用することで安全な共有が可能になるだけでなく、アプリがGoogle Playのライブラリーに追加されるため、アップデートを受け取ることも可能だ。

開発者にとってはGoogle Playで認証された新たなアプリ配布手段が追加されることになり、ユーザー数の増加も期待できる。変更はGoogle Play側ですべて行われるため、開発者側での対応は必要ない。

今年1月に発見されたCPUの脆弱性「Meltdown」や「Spectre」では、対策を行うとCPUの演算性能が低下することが知られている（過去記事）。これに対し、米マサチューセッツ工科大学が演算性能の低下無しに脆弱性対策を行う手法を開発したという（PC Watch、TechCrunch）。

この手法はプログラムが別のプログラムによって使用されているキャッシュにアクセスすることを防ぐためにキャッシュメモリの割り当てを制御するもので、OS側の最小限の修正で実現でき、実装が容易で性能の低下もないという。

Facebookは8日に発表したビデオコミュニケーションデバイス「Potral」について、プライバシーとセキュリティを念頭に置いて作ったと主張しているが、それでもユーザーのデータは収集してターゲティング広告に使用するという(Recodeの記事、 The Vergeの記事、 Android Policeの記事)。

Portalのマーケティングを率いるDave Kaufman氏はRecodeのKurt Wagner氏に対し、通話ログやアプリ利用状況などPortalが収集する一切のデータをターゲティング広告に使用することはない、と説明していたが、その説明は誤りだったそうだ。

後日Facebookの広報担当者がRecodeに電子メールで伝えたところによると、Portalの通話機能はMessengerのインフラストラクチャー上に構築されているため、通話ログはMessengerを実行する他のデバイスと同様に収集されるのだという。通話ログに加え、アプリ利用状況などPortalで収集されるデータは、Facebookのプラットフォーム上で広告を表示するための情報として使われるとのこと。

これについて製品担当VPでPortalの責任者を務めるRafa Camargo氏は、不正確な情報を提供したことをWagner氏に電話で謝罪。技術的にデータを広告ターゲティングに利用可能であっても、実際に使われることは知らなかったという。Portal自体は広告を表示しないため、Portalチームではデータをターゲティングに使用する計画はなく、それが混乱の原因になったとのことだ。

英国・ロンドンのエクアドル大使館が、長年保護しているジュリアン・アサンジ氏に対し、11日付で出したとされる大使館内での行動に関する指令書がリークしている(Código Vidrioの記事、 The Gateway Punditの記事、 The Guardianの記事、 The Vergeの記事)。

アサンジ氏は2010年にロンドンで逮捕されたが、保釈中の2012年に政治亡命を求めてエクアドル大使館に入り、現在まで滞在を続けている。大使館の外では保釈中に逃亡したアサンジ氏を逮捕しようと英警察が待ち構えているため、アサンジ氏は大使館外に出ることはできないものの、大使館内では比較的自由に行動できていたようだ。しかし大使館は3月、アサンジ氏がエクアドルと他国の間で外交問題を引き起こすような政治的発言をしないという約束を破ったとして、アサンジ氏のインターネットアクセスをブロックする。また、訪問者をアサンジ氏の弁護団に限定し、警備会社の契約も打ち切ったという。

リークした文書は(PDF)はスペイン語で書かれたもので、全9ページ、規定は32項目におよび、守られない場合はアサンジ氏に対する外交的庇護を打ち切ると明記されている。英訳が添付されるとの記載もみられ、英訳の文書(PDF)も公開されているが、(文書自体が本物だとして)アサンジ氏に渡された英訳と同じものなのか、リークしたスペイン語の文書を英訳したものなのか明確ではない。

規定は訪問者・通信・医療の3つに大きく分けられており、訪問者に関しては事前に書面による承認が必要なことや、訪問者を大使館が記録すること、規定を守らない訪問者は英当局に通報することなどが定められている。通信についてはWi-Fiサービス提供やアサンジ氏が使用できる通信機器、3月にブロックの原因となった外交上の問題を引き起こす発言を控えることなどが記載されている。

headless曰く、

10月15日、メジャーブラウザーのTLS 1.0/1.1無効化計画が一斉に発表された（Google Security Blog、Microsoft Edge Dev Blog、WebKit公式ブログ、VentureBeat）。

GoogleはChrome 72（2019年1月に安定版リリース見込み）でTLS 1.0/1.1を非推奨とし、これらのバージョンを使用するサイトで警告が表示されるようになる。さらにChrome 81（2020年1月に早期リリース見込み）ではTLS 1.0/1.1が無効化される。

Microsoftは2020年前半にその時点でサポートされているバージョンのMicrosoft EdgeとInternet Explorer 11のデフォルトでTLS 1.0/1.1を無効にする。Appleは2020年3月以降、iOSとmacOSのアップデートでSafariからTLS 1.0/1.1のサポートを完全に削除する計画だという。

MozillaはFirefoxでのTLS 1.0/1.1サポートを2020年3月に無効化する計画だ（Mozilla Security Blogの記事）。プリリリース版のFirefoxで無効化されるのは2020年3月よりも前になる。具体的な日程については後日発表するとのことだ。