The Document Foundationは8日、LibreOffice 6.3をリリースした(アナウンス、 リリースノート、 The Registerの記事)。

LibreOfficeのタートルグラフィックス描画機能LibreLogoでは、Writer上に書いた一部のPythonコードがそのまま実行されてしまう問題があり、イベントハンドラーによるマクロ実行と組み合わせることで任意コードが実行可能となっていた。この脆弱性はLibreOffice 6.2.5で修正されたが、ハイパーリンクのイベントハンドラーからのLibreLogoマクロ呼び出しはブロックされるようになったものの、「文書を開いた時」などのイベントではブロックされていなかった。

アナウンスやリリースノートでは特に触れられていないが、LibreOffice 6.3では文書操作などのイベントでもLibreLogoマクロの呼び出しがブロックされるようになったようだ。一方、Writer上のPythonコード実行はブロックされておらず、LibreLogoツールバーから「Logoプログラムの実行」をクリックすればPythonコードを実行できる。また、現在もLibreLogoは標準でインストールされるオプション機能となっている。

なお、LibreOfficeのダウンロードページでは安定版と最新版の2バージョンを提供しており、今回の問題を受けて安定版が一時消えていたが、LibreOffice 6.3リリースに伴ってLibreOffice 6.2.5が安定版に移動している。ただし、LibreOffice 6.2.5では上述のようなイベントからのLibreLogoマクロ呼び出しはブロックされないので注意が必要だ。LibreLogoマクロはマクロのセキュリティ設定にかかわらず、ユーザーに確認を求めることなく実行される。

BroadcomとSymantecは8日、Symantecのエンタープライズセキュリティ事業をBroadcomが買収することで合意に達したことを発表した(Broadcomのプレスリリース、 Symantecのプレスリリース、 The Registerの記事、 Neowinの記事)。

BroadcomによるSymantec買収の動きは7月初めに報じられたが、7月半ばには買収条件が折り合わずに取りやめになったとも報じられていた。

今回の買収条件には「Symantec」のブランド名使用も含まれ、Broadcomは同社の販路を通じてSymantecのエンタープライズセキュリティ製品を展開していく。一方のSymantecはコンシューマー/スモールビジネス向けセキュリティ製品に注力することで、収益拡大が可能と考えているようだ。

買収総額は現金で107億ドル。米国・EU・日本の規制当局の承認と慣習的な取引完了条件を前提とし、Broadcomの2020会計年度第1四半期中(2019年末まで)に完了する見込みだという。取引完了後、Symantecは同社の株主に1株当たり12ドルの特別配当を実施する計画だ。

Anonymous Coward曰く、

Microsoftのサイバーセキュリティ部門の1つであるMicrosoft Threat Intelligence Centerは、ロシア政府の支援を受けているとみられるハッカー集団が企業ネットワークへの侵入手段としてIoTデバイスを攻撃していると発表した。さらに価値が高い他の標的にアクセスするのが目的とみられる。

これらの攻撃を実行した集団について、Microsoftは「Strontium」と呼んでいるが、一般には「APT28」や「Fancy Bear」という名称でも知られている。Microsoftは、同社スタッフが2019年4月、Strontiumが「複数の顧客の拠点において一般的なIoTデバイスへの侵入」を試みているのを発見したとしている。

同社はこれらの攻撃を初期段階で見つけてブロックしたため、調査担当者らはStrontiumが侵入したネットワークから何を盗もうと試みたのかを特定できなかったという（Microsoft Threat Intelligence Center、Ars Technica、Slashdot）。

headless曰く、

Capital Oneの個人情報漏洩事件に関して、Capital Oneに加えてGitHubを被告とするクラスアクション訴訟が米国で提起された（訴状: PDF、Computing、Register）。

本件ではCapital One顧客の個人情報を含むファイルがGitHubで公開されており、これに気付いたGitHubユーザーが7月17日にCapital Oneへ通知したことで発覚した。侵害されたデータがGitHubに投稿されたのは4月21日頃で、3か月近くにわたり放置されていたことになる。

訴状ではGitHubが社会保障番号など明らかに不正取得されたデータが同社サイトで公開されないようにするための監視を怠り、適切な個人情報保護を行わなかったことを指摘。こういった行為が米盗聴法やカリフォルニア州法に違反することも指摘し、クラスアクション訴訟としての認定や違法行為などの認定・差止、損害賠償などを求めている。

なお、この事件では情報漏洩の原因がCapital Oneが独自に構築していたWebアプリケーションファイアウォール（WAF）の設定ミスだったことが明らかになっている（piyolog、Krebs on Security）。

詳細は公開されていないようだが、設定ミスを悪用することで本来外部からはアクセスできないサーバーにアクセスでき、これによって同社がAWS上で運用しているインスタンスのメタデータを取得することができたという。

Anonymous Coward曰く、

コンテンツ配信サービスを提供する米Cloudflareが8月5日、画像掲示板8chanへのサービス提供を打ち切ることを発表した（Cloudflare、ITmedia、CNET Japan、Slashdot）。Cloudflareは「理由はシンプルだ。彼らは自身が無法であることを証明しており、その無法により何度も悲劇が起きている」と声明を出しており、8chanが銃乱射事件に影響を与えたことからのサービス提供打ち切りのようだ。

8chanは2013年にフレデリック・ブレナン氏が立ち上げ、現在はジム・ワトキンス氏（現5ちゃんねるの管理人）が運営している掲示板サイト。同サイトでは、8月3日にテキサス州で発生した銃乱射事件の容疑者とみられる人物が憎悪に満ちた「マニフェスト」が投稿されており、3月にニュージーランドで起きた起きた乱射事件でも同様のことがあったとされる。

この影響で同サイトはアクセス不能の状態となっており、運営はTwitterで「解決策を探している間、今後24〜48時間はサイトがダウンする可能性がある」と告知している。

岩手県花巻市のエアーソフトガンメーカーKTWが、ふるさと納税の返礼品としてウィンチェスターM1873カービンを模したエアーソフトガンを提供したところ、安全性を疑問視する声が出たという。そのため同市は返礼品としての取り扱いを中止したそうだ（KTWのTwitterアカウントによる投稿）。

エアーソフトガンはプラスチック製の弾を発射できる遊戯銃であるが、日本においては銃刀法や各種条例で規制されており、業界団体も自主規制を行っている。そのため公に流通しているものに関しては殺傷能力が大きく制限されており、一般的には安全性の問題はない。そのため、KTWはこれに対し遺憾の意を示している（KTWのTweet）。

Anonymous Coward曰く、

横浜私立大学付属病院の医師が、患者3275人の個人情報を使用者不明のメールアドレスに誤送信していたことが明らかになった（朝日新聞、ヨミドクター、毎日新聞）。

本来こういった情報はメールではなく郵送などでやり取りするはずだったが、実際にはメールで個人情報がやり取りされていたという。誤送信した情報は膀胱がん手術を受けた患者の情報で、氏名や治療内容、再発の有無などが含まれていたという。

これらの情報は20病院の医師22人で共有していたものだったそうだ。誤送信の原因はメールアドレスの入力間違いで、送信先として指定した22人分のうち13人分のアドレスが間違っていたという。そのうち11のアドレスには届かなかったが、2つのアドレスについては「戻らず」、その後連絡を試みたメールについても返信がない状況だそうだ。

先日、セブン＆アイ・ホールディングスがスマートフォン決済サービス「7pay」のサービス終了を発表したが、これに関連するセブン＆アイの対応について懸念の声が出ている（Impress Watch）。

まず指摘されているのが、不正アクセスがリスト型攻撃によるものだと発表されたこと。パスワードを使いまわしておらず、リスト型攻撃では不正アクセスを受けないはずのユーザーも被害にあっていることが報告されているが、セブン＆アイ側がこれらについては曖昧な言及しかしていない。そのため、リスト型攻撃とは別の大きな脆弱性が存在しているのではないか、と疑う声が出ている。

また、同社は外部のセキュリティ会社とも協力して調査を行ったが、その結果は公開されていない。そのため、7payに実際にどのような問題があったのか、またそれ以外のシステムには問題はないのか、外部のユーザーが判断できない状況になっている。

こういった状況から、セブン＆アイの既存サービスにおけるセキュリティについても疑う声や、セブン＆アイ側は実際にシステムにどのような問題があったのか理解できていないのではないかと疑う声が出ている状況となっている。

Anonymous Coward曰く、

Facebookのメッセンジャーサービス「WhatsApp」に、バックドアを設定する動きがあるという。この機能では、特定のアルゴリズムを利用して、暗号化通信の会話を適切に終了させることができるとされる。具体的には、エンドツーエンドの暗号化クライアント自体に、フィルタリングアルゴリズムが含まれる。ブラックリストに含まれる言葉があるとアプリケーションを停止する仕組みであるようだ。

こうした要求はマーク・ザッカーバーグが主導しているとされる。WhatsAppに関しては、インドで偽情報が拡散し死亡する事件が起きるなどの問題が発生、英国では、ロンドン橋におけるテロ事件で犯人たちがWhatsAppを経由して連絡を取り合っていたとされる。このため、Facebookには各国政府から対策が求められてきた背景がある。実際に上記のようなフィルタリングシステムが搭載されれば、各国政府からの要求には対応しやすくなる。

The Guardianによると先日、いわゆるファイズ・アイズと呼ばれる国々でテロリズムおよび児童虐待と闘うことをテーマにした会議が開催された。この会議では、警察などがWhatsAppへの特別なバックドアアクセスや、その他の暗号化された通信を許可するよう求める決議が出されたという。この会議は非公開で行われたため正確なことは不明だ。しかし、英国の閣僚は、先のロンドンテロ事件からWhatsAppについて特に強い懸念を持っていることは分かっている（Forbes、The Guardian、Slashdot）。

愛知県で開始されている芸術祭「あいちトリエンナーレ2019」の企画の1つであり、過去に公共の文化施設での展示が排除された作品などを展示不許可となった理由と共に展示した「表現の不自由展・その後」に対し脅迫などがあり、その結果展示が中止となった。出展された作品についてはWebサイトで公開されているが、天皇や慰安婦を表現した作品などが含まれており、これに対し抗議の声も出ていた（ハフィントンポスト）。

また、中止の理由の1つとして、FAXで「ガソリン携行缶を持っていく」という脅迫があったことが報じられているが、この脅迫文の送信元が特定できないという話も話題になっている。

これについては真偽のほどは不明だが、インターネット経由でFAXを送信できるようなサービスを使って匿名の回線を使えば足がつかないのではないか、とも推測されている。

なお、FAXだけでなくメールでもガソリンを撒くという脅迫メールも届いているという（朝日新聞、AbemaTIMES）。

ニュージーランド航空がラグビーへの愛を世界に示すため、「オールブラックス航空」に改名する、という新作の機内安全ビデオ「Air All Blacks」を公開している(ニュージーランド航空の記事、 Mashableの記事、 動画)。

豪華キャストで知られるニュージーランド航空の機内安全ビデオだが、今回はタイトル通りラグビーニュージーランド代表「オールブラックス」の選手やOBをフィーチャーしている。また、テレビドラマ「Suits」でルイス・リットを演じるリック・ホフマンが顧問弁護士役で出演しており、ジュリアン・デニソンが出演した昨年の機内安全ビデオを批判する場面もみられる。

以前は乗務員が実演する代わりに動画で出演しただけ、という感じのものが多かった機内安全ビデオだが、近年は凝った作りのものも増えている。最近実際に観たものでは、タイ国際航空の機内安全ビデオが面白いと思った。スラドの皆さんが面白いと感じた機内安全ビデオにはどのようなものがあるだろうか。

Tesla車に搭載された「Dog Mode (犬モード)」に深刻なバグが発見され、イーロン・マスク氏が修正を約束している( 発見者のツイート、 Mashableの記事、 The Vergeの記事 )。

犬モードは車内を犬が快適に過ごせる温度に保つほか、ディスプレイに犬が閉じ込められているわけではないことを通行人に知らせる機能を搭載し、安心して駐車中の車内に犬を残して車を離れられるようにするものだ。しかし、エアコンのファンを調整すると犬モード中にエアコンが動作しなくなることをTesla車のオーナーが発見する。このオーナーは犬を車内に残して車を離れたが、室温をチェックしていて問題に気付いたため、犬は無事だったという。Twitterで報告を受けたイーロン・マスク氏は修正中だと返信しているが、期日は示していない。そのため、現時点ではエアコンのファンを自動設定にしておく必要があるとのことだ。

追記: 既にOTAで修正が提供されたようだ。

LibreOfficeで任意コード実行が可能な脆弱性(CVE-2019-9848)が見つかり、バージョン6.2.5で修正されたのだが、完全には修正されていないようだ(The Registerの記事)。

LibreOfficeに標準でインストールされるオプションのコンポーネント「LibreLogo」では、WriterにLOGOのプログラムコードを書くことでタートルグラフィックスの描画ができる。コードはPythonのコードへ変換後に実行されるのだが、適切なチェックが行われていないため、Writer上に書いたPythonのコードは一部がそのまま実行される。これをイベントハンドラーによるマクロ実行と組み合わせ、LibreLogoの「run」マクロを指定すれば警告なしに任意コードが実行可能だ(JRE不要)。

これについてLibreOffice 6.2.5では、ドキュメントのイベントハンドラーからLibreLogを呼び出せないように修正したと説明されているが、Pythonコードのチェックについては触れられていない。実際にLibreLogoツールバーからプログラムを実行すれば、以前のバージョンと同様にPythonコードが実行される。また、脆弱性を発見したERNWが公開しているハイパーリンクのイベントハンドラーを利用するPoCはブロックされるものの、「文書を開いた時」などのイベントにマクロを割り当てれば実行可能だった。この脆弱性を使用するエクスプロイトはMetasploitにも追加され、バージョン6.2.5でも動作するようだと説明されている。そのため、この脆弱性を悪用する攻撃を回避するには、LibreLogoを削除するのが確実だ。

The Document FoundationはThe Registerに対し、バージョン6.2.5では部分的な修正にとどまることを認めている。その理由として別の方法でも脆弱性を呼び出せることを挙げ、近日リリース予定のバージョン6.3/6.2.6で修正するとも述べているが、Pythonコードがそのまま実行される問題を修正するつもりはないようだ。また、マクロのセキュリティ設定にかかわらず実行されることに関しては、実行されるのはマクロではなく、プログラムがPythonを呼び出すのだと主張している。ただし、安全性を高めるためLibreLogoを拡張機能として分離することも検討しているそうだ。

Anonymous Coward曰く、

二要素認証で利用できる物理セキュリティドングル「Titanセキュリティーキー」が日本でも発売された。価格は6,000円で、Googleストアから購入できる（ITmedia、Slashdot）。

昨年7月に米国で販売開始されていた製品で、Googleのアプリやサービスだけでなく、認証規格「FIDO」に対応するさまざまなサービスおよびハードウェアで利用できる。USB接続のセキュリティキーとBluetooth接続のセキュリティキーがセットになっており、片方をメインで使用し片方は安全に保管することが推奨されている。

GoogleはTitanセキュリティキーについて、ハッキングやフィッシングからGoogleアカウントを保護するのに最も優れた方法の1つだとし、Google内で運用されているものと同等レベルのセキュリティを提供するという。

headless曰く、

AV-TESTによる家庭向けWindowsアンチウイルスソフトウェアのテスト結果6月分で、Windows Defenderが初めて満点を獲得している（リポート、Softpedia）。

AV-TESTのテストはマルウェアに対する防御率・検出率を評価する「Protection」および、実行による速度低下の小ささを評価する「Performance」、誤検知の少なさを評価する「Usability」の3カテゴリで各6点満点、合計18点満点で評価される。今回のテストはWindows 10を対象に5月と6月に実施された。

Windows Defender/Microsoft Security Essentialsは2013年から2015年にかけてProtectionのスコアが非常に低くなっていたが、最近2年間は常に5点以上で推移している。PerformanceとUsabilityは以前から比較的高い評価を受けており、トッププロダクトの認定を獲得することも増えている。今回テストされたバージョン4.18は防御率・検出率ともに100%、誤検知0で速度低下も小さく、Microsoft Security Essentialsを含めて初の18点満点となった。

今回、Windows Defender以外で満点を獲得したのは、F-Secure SAFE 17、Kaspersky Internet Security 19.0、Norton Security 22.17の3本。17.5点でAvast Free Antivirus 19.5とAVG Internet Security 19.5、Bitdefender Internet Security 23.0、Trend Micro Internet Security 15.0、VIPRE AdvancedSecurity 11.0の5本が続き、これら9本がトッププロダクトに認定されている。今回テストされたのは合計20本であり、トッププロダクトが半数近くを占める。

16点未満はPC Pitstop PC Matic 3.0（14点）、Malwarebytes Premium 3.7.1（13点）、Webroot SecureAnywhere 9.0（11.5点）のみで、これらの製品も推奨プロダクトの認定は獲得している。