Microsoftは19日、Windows 10 Enterprise/Education/IoT Enterpriseの3エディションについて、バージョン1709(Fall Creators Update)のサポートを10月13日まで延長すると発表した(Windows IT Pro Blogの記事、 Neowinの記事、 SlashGearの記事、 Computerworldの記事)。

Windows 10 バージョン1709ではHome/Pro/Pro Education/Pro for Workstationの4エディションが昨年4月9日にサポートを終了しており、Enterprise/Education/IoT Enterpriseの3エディションは今年4月14日のサポート終了が予定されていた。サポート延長の理由としてMicrosoftでは、現在の公衆衛生に関する状況を評価した結果、ユーザーの直面する多くの問題の一つを緩和するためと説明している。

なお、GoogleはChrome 81の安定版リリース延期を発表しているが、Microsoftもこれに合わせてChromium 81ベースのMicrosoft Edge 81安定版リリースを延期し、当面はEdge 80のセキュリティおよび安定性向上に注力するとのことだ。

Googleは18日、ChromeブラウザーおよびChrome OSの次バージョンリリースを一時停止すると発表した(Chrome Releaseの記事、 The Vergeの記事、 BetaNewsの記事、 Softpediaの記事)。

計画変更の理由としては作業スケジュールの調整が入ったためとのみ説明されているが、COVID-19の影響とみられる。現在の重点課題はChromeおよびChrome OSの安定性と安全性、信頼性を維持することであり、Chrome 80のセキュリティに関連する更新に注力していくとのこと。Chrome 81安定版は3月17日のリリースが見込まれていたが、当面はリリースされないことになる。

Mozillaは6月に安定版をリリース予定のFirefox 77でFTPサポートをデフォルト無効にし、2021年初めには完全に削除することを計画しているそうだ(Ghacksの記事、 Neowinの記事、 ZDNetの記事、Bug 1574475)。

Firefoxでは2018年のFirefox 60で「高度な設定 (about:config)」に「network.ftp.enabled」が追加されており、これを「false」にすることでFTPを無効にできるが、デフォルトでは有効のままになっている。Firefox 77ではこのプリファレンスを使用した無効化が行われるため、ユーザーが「true」に設定しなおせばFTPは利用できる。また、Firefox ESR 78のデフォルトはFTP有効になるようだ。2021年初めに予定されている変更ではFTP関連のコードがすべて削除されるため、再度有効化することはできなくなる。FTPサポート終了の理由としては、FTPプロトコルがセキュアではないことや、Firefoxで「ftp://」はほとんど使われていないことなどが挙げられている。

Google ChromeでもFTP無効化が進められており、2020年第2四半期リリースのChrome 82でFTP関連コードとリソースを削除する計画が示されている。ただし、現在のところChrome Canary(バージョン83)やChrome Dev(バージョン82)ではフラグ(chrome://flags/#enable-ftp)でFTPの有効・無効がコントロールされる状態のままになっている。

成人向け動画サービス「SODプライム」で個人情報流出トラブル

3月13日より一部コンテンツの無料公開キャンペーンを行なっていた成人向け動画配信サービス「SODプライム」で、ほかのユーザーのアカウント名やメールアドレス、動画閲覧履歴などが見えてしまうトラブルが発生していたという（J-CASTニュース）。

発生していたのは、会員情報ページを閲覧した際に自分の情報ではなく他人の情報が見えてしまうという現象で、ページをリロードするたびに別の情報が表示されていたという。

WhiteSourceの年次報告書「The State of Open Source Security Vulnerabilities」によると、2019年に報告されたオープンソースソフトウェアの脆弱性は前年から50%近く増加していたそうだ(BetaNewsの記事、 The Registerの記事)。

データはWhiteSourceがNVD(National Vulnerability Database)のほか、セキュリティアドバイザリやピアレビュー型の脆弱性データベース、バグトラッカーから収集したもので、2019年のオープンソースソフトウェアの脆弱性は6,000件を超えているという。オープンソースソフトウェアの脆弱性は85%が公表時点で修正されている一方、NVDに掲載されるのは84%にとどまる。当初はNVDに報告されないものも45%にのぼり、29%はいずれNVDに掲載されるものの数か月のタイムラグがあるとのこと。

オープンソースソフトウェアの脆弱性で最も多いのはCで書かれたものだ。ただし、2009年～2018年のデータでは脆弱性の47%を占めていたのに対し、2019年は30%まで減少している。一方、PHPは15%から27%に増加した。脆弱性の種類ではC以外の言語(C++/Java/JavaScript/PHP/Python/Ruby)でXSS(CWE-79)が最多、不適切な入力確認(CWE-20)と情報漏洩(CWE-200)が続く(Rubyのみ逆順)のに対し、Cではバッファーエラー(CWE-119)・領域外読み込み(CWE-125)・NULLポインター参照(CWE-476)の順になっている。

Microsoftは12日、SMBv3(Microsoft Server Message Block 3.1.1)の脆弱性(CVE-2020-0796)を修正する更新プログラム(ビルド18362.720/18363.720)を公開した(KB4551762、 セキュリティ更新プログラムガイド)。

この脆弱性はSMBv3プロトコルが特定のリクエストを扱う方法に存在するリモートコード実行の脆弱性で、攻撃者が悪用すればSMBサーバー上またはSMBクライアント上でのコード実行が可能になるという。SMBサーバーを攻撃するには細工したパケットを送り付ければよく、SMBクライアントの攻撃では攻撃用のSMBv3サーバーを設置してターゲットに接続させればいい。脆弱性の影響を受けるのはSMBv3圧縮が導入されたバージョン1903以降のWindows 10/Serverのみとなっている。

もともとCVE-2020-0796は3月の月例更新プログラム(KB4540673)で修正予定だったようだ。KB4540673には修正が含まれていなかったのだが、脆弱性情報が予期せず公開されてしまったため、Microsoftは緩和策を含むセキュリティアドバイザリ(ADV200005)を公開していた(Ars Technicaの記事、 BetaNewsの記事[1]、 [2])。

RSA Conferenceは10日、2月に開催したRSA Conference 2020参加者のうち2名が最近になって新型コロナウイルス感染症(COVID-19)の検査で陽性と判定されたことを公表した(RSA ConferenceのCOVID-19更新情報)。

RSA Conference 2020はCOVID-19感染拡大の懸念から出展取りやめが相次ぐ中、米国・サンフランシスコのモスコーネセンターで2月24日に開幕。2月25日にはサンフランシスコ市長がCOVID-19に関する非常事態宣言を出したものの、予定通り2月28日まで開催された。同じ会場で3月16日から開催が予定されていたGDC 2020は延期となっている。

2名がイベント来場時に症状が出ていたのか、潜伏期間中だったのかといった情報は現在のところ得られておらず、保健当局の調査に協力している段階だという。RSA Conferenceでは状況を引き続き監視しており、すべてのイベント参加者が必要な対策を取れるよう情報を随時公表すると述べている。

一方、RSA Conference 2020に出展していたExabeamによると、感染者2名は同社の従業員のようだ。感染時期がイベント前なのかイベント後なのかは判明していないが、同社ブース訪問者やパーティー参加者などには個別に連絡しているとのこと。Bloombergによるとうち1名は深刻な状況だという(Exabeamのツイート[1]、 [2]、 Bloombergの記事、 The Registerの記事)。

RSA Conferenceでは7月に予定していたRSA Conference 2020 Asia Pacific & Japanをバーチャルイベントにすることも発表している。

Anonymous Coward曰く、

メモリの特定アドレスに特定のパターンで頻繁にデータを書き込むことで、その周辺アドレスの内容を書き換えられるという脆弱性「ロウハンマー（Row Hammer）」攻撃はDD4メモリでも有効だという報告がなされた（窓の杜、JVNVU#99239584）。

ロウハンマー攻撃はメモリの物理的構造に由来するもので、単にデータを破損させてシステムをクラッシュさせる攻撃に使えるだけでなく、これを悪用してAndroidにおいて非特権プロセスから本来得られない特権を取得する手法が見つかっている（PC Watchによる解説記事）。

DDR4メモリを使用するシステムではこの攻撃への対策として「 TRR（Target Row Refresh）」という機能を備えているものが多いそうだが、このTRRには複数の実装形態があり、実装形態に応じてパターンを工夫することで攻撃が可能になっているという。

Anonymous Coward曰く、

先日、「新型コロナは体調管理ができていない証拠」などとうたった求人広告が炎上する事案があった。この求人広告を出していた企業は、不正アクセスによる改ざんと発表していたが、その後調査の結果、同社の元従業員が嫌がらせ目的でこれを行なったと同社が発表している（ITmedia）。

求人サイトの管理用IDやパスワードを知る元従業員が、在職当時の12月下旬に嫌がらせ目的で虚偽のメッセージを掲載したという。その後この社員は退職したが、IDやパスワードは変更されていなかったために改ざんが続けられていたという。

なお、この元従業員が働いている企業は対応の完了後に責任を取って辞任するとしている。

Anonymous Coward曰く、

Googleはイラン政府公式のAndroidアプリをPlayストアから削除した。このアプリはコロナウイルスによる新型肺炎（COVID-19）の感染をチェックしたり、追跡したりするためのものだという。このアプリをめぐっては、Playストアから削除される前に議論があった。イラン政府はCOVID-19の恐怖を利用して市民にこのアプリをインストールさせ、これを使って電話番号とリアルタイムの地理的位置データを収集するとするものだ。

ZDNetはESETのAndroidマルウェア研究者であるLukas Stefanko氏に、このアプリにスパイウェアのような動作がないか調査を求めた。その結果「アプリのAPKを分析したところ、このアプリはトロイの木馬やスパイウェアではありません」とStefanko氏は語っている。

Googleの広報担当者は、アプリが削除された理由についてはコメントしなかった。ただし、Playストアポリシーに詳しい情報筋はZDNetに対し、アプリではとうてい不可能な「COVID-19感染を検出できる」という誤解を招く主張があったために削除された可能性が高いとしている（ZDNet、Slashdot）。

乗用車のキーレスエントリーシステムにおける脆弱性は度々話題となっているが、物理的な鍵を採用する乗用車においても脆弱性があり、これを悪用することで無線で車両のイモビライザーを無効化できてしまうという（WIRED）。

この脆弱性は、Texas Instruments製の「DST80」と呼ばれる暗号化システムを使った車両に存在するもので、比較的安価に入手できるRFIDリーダーを使って自動車のキーフォブ（いわゆるリモートコントロールキー、スマートキー）からその秘密鍵を推測するのに十分な情報を得られてしまうのだという。さらに、このRFIDリーダーを使ってイモビライザーを無効化できてしまうそうだ。

ただし、この脆弱性を悪用するには、RFIDリーダーをキーフォブの2.5～5cmほどの距離に近づける必要があり、またキーシリンダーは物理的に解錠しなければならないため、利用できる状況は限られているという。

なお、この脆弱性はDST80自体に問題があるわけではなく、車両メーカーによる実装方法に問題があり、起亜自動車、現代自動車、トヨタ自動車の一部車両で影響があるという。これに対しトヨタは物理的なキーが必要になることなどから「リスクが低い」としている。

Anonymous Coward曰く、

Intelは2019年、同社CPUに搭載されているセキュリティ機能「Converged Security and Management Engine（CSME）」の不具合を修正するパッチ「Intel-SA-00213」をリリースした。しかし、このパッチでは問題を根本的には解決できないとの指摘が出ている（ZDNet Japan、Slashdot）。

Positive Technologiesが米国時間3月5日に公表した報告書によると、過去5年間にリリースされたIntel製チップセットの大半にこの脆弱性が含まれているという。攻撃は検出が不可能で、Intelのパッチは問題を部分的にしか解決しないとしている。

問題の脆弱性（CVE-2019-0090）は、ハードウェアに物理的にアクセスすることで、権限のないユーザーが特権を取得できる可能性があるというもの。しかし、報告によるとこの不具合は物理的にシステムにアクセスできない場合でも、たとえばデバイス上で動作するマルウェアなどがこの脆弱性を悪用することができるという。また、対策としてはCPUを交換することしかないともされている。

一方Intelは、この不具合を悪用するには物理的なアクセスが必要であるとの立場を崩していないようだ。

採用支援サービス「engage」上で、「執行役員からのメッセージ」として「新型コロナだって体調管理ができてない証拠」「気持ちいれて働いてたらかからない」などと記載していた企業が批判を浴びている。これに対しこの企業側は本人の投稿ではなく、不正アクセスで内容が改ざんされたなどと主張している（キャリコネニュース、Buzzap!、Togetterまとめ）。

この企業側の説明によると、「執行役人本人が投稿したものではない」「本人になりすました悪質な投稿」であり、社内でサイトの管理に使われていたIDが不正に使われた可能性があるとしている。なお、この企業の求人ページでは「残業代は一切出しません」などと書かれていたことも指摘されている。

研究者らが、2011年以降のAMDプロセッサーにおいて2種類の脆弱性を発見したと発表した（Engadget日本版、窓の杜、ZDNet）。

これらはAMDプロセッサのL1Dキャッシュの挙動に関するもので、これを悪用することでデータ漏洩もしくはデータに関する手がかりを得ることができるという。

なお、AMDはこれら脆弱性は新しいものではなく、すでにリリースされているパッチで緩和できると述べているが、研究者らはこれに対しAMDの反応はミスリーディングを誘うものだと否定している。ただ、以前問題となったMeltdownなどの脆弱性と比較すると影響は小さいとも述べられている。

国立感染症研究所のサーバーに脆弱性があり、このサーバーを踏み台とした不正行為に使われていたことが発覚した（日経xTECH）。

問題のサーバーは2012年まで公式Webサイトで使われていたもので、その後ファイルサーバーとして使われていたという。このサーバー上で動いていた「20年以上前にPerl言語で作られたCGIプログラム」に脆弱性があり、これを狙った攻撃によってサーバーが外部から操作されてしまったという。