主な Linux ディストリビューションに標準でインストールされるツールキット Polkit (旧名: PolicyKit) の最初のバージョン (12 年前) から存在したメモリ破損の脆弱性 (CVE-2021-4034) について、発見した Qualys が解説している (Qualys Security Blog の記事、 Red Hat のアドバイザリー、 Neowin の記事、 Ars Technica の記事)。

Qualys が Pwnkit と名付けた脆弱性は非特権ユーザーがrootの権限でコマンドを実行できるようにする Polkit の コマンドラインツール pkexec に存在する。pkexec の main() 関数ではコマンドライン引数の数 (argc) を適切に処理せず、常に 1 以上として扱うため、引数リスト (argv) が空の状態でも境界外のメモリを引数 (argv[1]) として読み書きしてしまう。

境界外の直近にあるのは 1 つ目の環境変数 (envp[0]) であり、pkexec は読み取った値を実行ファイルの名前として PATH 環境変数で指定されたディレクトリを探し、一致する実行ファイルが見つかったらパスを付加して envp[0] を上書きする。これにより、通常は main() 関数実行前に除去される「安全でない」変数を pkexec の環境に再導入することが可能であり、悪用することでローカルでの権限昇格が可能になる。

Polkit では argc が 1 未満の場合に処理を終了する修正を行っており、修正済みの Polkit パッケージが入手可能になり次第更新することが推奨される。

Apple が同社製品に関連する個人向けの安全対策をまとめたガイドブック「Personal Safety User Guide」を公開している (Apple のサポート記事、 The Verge の記事、 Mac Rumors の記事、 9to5Mac の記事)。

ガイドブックは現在のところ日本語化されていないが、安全に関する設定の見直しや対策と、Apple 製品に組み込まれた安全やプライバシーを守る機能の使用方法、自分の情報にアクセス可能な人の制御に関する 3 つのチェックリストに大きく分けられており、英語版の PDF で 56 ページにおよぶ盛り沢山の内容だ。

設定の見直しや対策には共有やアカウントの管理、スクリーンショット撮影による不審な活動の記録、不審なコンテンツの削除、他人による AirTag や Find My アクセサリーを使用した追跡の防止などが含まれる。Android アプリを使用した AirTag / Find My アクセサリーの検出方法も紹介されている。

読売新聞によると日本郵政グループがデジタル地図事業への新規参入を計画しているという。パイオニアから独立したデジタル地図大手「ジオテクノロジーズ」と提携する形での事業参入を計画しているという（読売新聞）。

日本郵政は全国2万4000局の郵便局網と約10万人の配達員を抱えており、配達員の目視やカメラ、センサーを搭載した配達用バイクなどで、道路状況の変化や店舗の開店・閉店といった情報を反映することで「生きた地図」作りを目指すのだという。ただ現状の郵便法では、郵便事業で得た情報を郵便以外で使うことは禁じられている。このため総務省の有識者会議の議論を踏まえたうえで、サービス内容などを判断するとしている。

Googleは25日、プライバシー擁護派などから批判の出ていたcookie代替技術「FLoC」の開発を中止し、新たに「Topics」と呼ぶシステムのテストを行う方針だそうだ。テストは年内にも開始する予定。このTopicsでは、Webブラウザがユーザーの閲覧履歴に応じて関心のある話題（トピック）を決定。広告のパブリッシャーはTopics APIを介して過去3週分のデータから一つずつトピックを取得し、関連する広告を表示できるようにするものだそうだ。トピックには車、フィットネス、旅行、アニメ、ニュースなどが設定されているそう。取得できるトピックは最大3個で、ブラウザ上で保持される期間は3週間。古いものは自動で削除されるとしている（Topicsの概要、開発者向け情報[GitHub]、CNET、ITmedia、Engadget）。

オープンソースで開発されている「curl」の作者であるDaniel Stenberg氏に、大企業から無礼なメールが届いたと話題になっている。メール送信元となる会社名や製品名は同氏の判断により隠されているものの、フォーチュン500に入る大企業からのメールであるという。メールの内容は先日話題となったLog4jの深刻な脆弱性に関係したもの。内容はタレコミにあるとおりだが、詳しいやりとりは同氏のブログ上に記載されている。（Daniel Stenberg氏のツイート、LOGJ4 SECURITY INQUIRY – RESPONSE REQUIRED、Publickey、GIGAZINE）。

あるAnonymous Coward 曰く、

送信側の大企業が、OSSがなにかもわからず、依存関係にあるライブラリの連絡先に他の企業に送るようにサポートを求めるメールを送ったのが原因とみられている。なおこれに対して、作者のステンバーグ氏は「サポート契約を結んでいただければ、喜んですべて速やかにお答えしますよ」との返答を返したという。

AppleのAirTagが人気となっているが、一方でストーカー行為や盗難、誘拐未遂などの犯罪目的で使用されていることも増えているという。その被害に遭ったモデルのブルックス・ネイダー氏は「AirTag追跡の標的にされた」という経験をInstagram上に掲載した。それによれば、所有している自身のスマホから「誰かがあなたを追跡しています」との通知を受け取ったことから調べたところ、コートの中からAirTagが出てきたという。同氏はレストランに入ったときに椅子の後ろにコートをかけていたため、その際に第三者にAirTagを入れられたのではと推測している。元記事ではこのほかにも別の女性が車のホイールにAirTagが取り付けられていたといった報告もあったともしている（Cosmopolitan）。

レオパレス21は24日、同社の賃貸住宅44万戸にスマートフォンなどで玄関扉の解錠ができる「スマートロック」を順次導入すると発表した。導入は6月から行われる予定。非対面化により感染症対策としても有効だとしている（レオパレス21リリース、日経新聞、CNET）。

あるAnonymous Coward 曰く、

今回採用したのはビットキーのスマートロックシステムで、これにより入居者はスマートフォンのアプリやICカード、または暗証番号で入室が可能になるという。物件の内見時の同行や鍵の貸し出しも不要になるため、メリットが大きいとしている。この規模での導入は業界初とのこと。

Apple は iOS で標準アプリと OS を別に更新できるようにすべきではないかと 9to5Mac が指摘している (9to5Mac の記事)。

現在の iOS 標準アプリは OS と同時に更新されるため、アプリ単体で更新を提供するよりも時間がかかることになる。軽微なバグなら数日待っても影響は少ないが、深刻なバグは一刻も早く修正したいところだ。実際に Apple は最近発見された Safari 15 の深刻な脆弱性の修正を進めており、既に iOS 15.3 RC に修正が含まれているが、一般提供は数日先になるとみられる。

ちなみに、FingerprintJS が発見したこの脆弱性は IndexedDB API の同一オリジンポリシー違反により、他のタブやウィンドウでアクセスしている Web サイトのデータベース名を他の Web サイトが読み取れるというもの。これによりユーザーがアクセスした Web サイトが特定できるほか、Google アカウントにログインしている場合は Google が生成するユーザーの識別子を知ることもできるという。

iOS とアプリが個別に更新されるようになれば新機能を容易に受け取れるようになるなどユーザー側のメリットは大きいが、逆に iOS を更新する動機は弱まることになる。そのため、Apple が更新の提供方法を変える可能性は低いとみられる。スラドの皆さんのご意見はいかがだろうか。

物流大手フェデックス（FedEx）が米国の連邦航空局（FAA）に、ミサイルを回避するための機器を搭載した貨物機の運航許可を申請しているそうだ。CNNによると、フェデックスが申請しているのは熱追尾型のミサイルに対して、赤外線レーザーを照射することで追尾を妨害するシステムであるという（CNN）。

2003年のDHL貨物便撃墜事件のように民間機が携帯式防空ミサイルの攻撃を受ける事例が増えていることから、民間機への設置を前提としたミサイル防衛システムの開発等が複数の企業によって行われているという。

個人情報保護委員会が個人情報を漏洩してしまったそうだ。個人情報保護委員会はマイナンバーなどの取り扱いについて監視・監督を担う政府機関。各報道によると漏洩したのは募集したパブリックコメントに意見を提出した12人分の氏名や一部所属先などであるという。政府の「e-Gov」上に先の個人情報が含まれたのPDFファイルを掲載してしまったとしている。掲載された期間は1月7日午後1時から午後1時40分までの期間だという。組織名とは裏腹な事態に対してSNS上などで突っ込みが入っていた模様（個人情報保護委員会リリース、個人情報保護委員会Twitter、ITmedia、ハフポスト）。

headless 曰く、

シンガポール通貨監督庁 (MAS) は 17 日、DPT (デジタル支払トークン、いわゆる暗号通貨) の一般向け宣伝をしないよう求めるガイドラインを公開した (メディアリリース、 ガイドライン)。

MAS では以前から DPT の価格が投機的に乱高下するため一般向けではないと警告していたが、シンガポール国内では一部の DPT サービスプロバイダーが広告や ATM 提供を通じてサービスを宣伝しているという。そのためガイドラインでは DPT サービスプロバイダーに対し、DPT 取引のリスクを矮小化しないこと、公共の場所やその他のメディアを通じて DPT サービスを宣伝しないことを要請している。

DPT サービスの宣伝を避けるべき公共の場所は公共交通機関の乗り物や駅、公開イベント会場、放送、サードパーティの Web サイト、ソーシャルメディアプラットフォームなどオンライン・オフラインを問わず、DPT 用の ATM も含まれる。DPT サービスプロバイダーは自社の Web サイトやモバイルアプリ、公式ソーシャルメディアアカウントでサービスを宣伝できるが、ソーシャルメディアインフルエンサーなどの第三者を宣伝に参加させるべきではないとのことだ。

埼玉県草加市の14歳の少年が6日、80代の女性から現金をだまし取ろうとした疑いで逮捕された。被害に遭いそうになった女性は特殊詐欺を見破るAI機能がついた装置を電話機に取り付けており、その機能により自動アラートを受けた役所の職員が、すぐに110番通報したという。それにより女性から封筒を受け取ったところで警察が登場。現行犯逮捕されたとしている（テレ朝NEWS、スポニチ）。

このAI機能付きの装置は、NTT東日本などが開発したもので固定電話に取り付けるものだという（特殊詐欺対策サービスの提供について）。端末が音声を録音、リアルタイムで特殊詐欺解析サーバーに転送。AIが言葉を解析して本人や連絡先にメールなどで注意喚起を行う仕組みであるという。NTT東日本によるとこの装置で逮捕まで至ったのは今回が初めてであるそうだ。

昨年12月に埼玉県内の郵便局で、配達員が施錠された郵便受けを勝手に開け、定形外郵便を入れていたというトラブルが起きていたという。NHKの情報提供窓口「ニュースポスト」に投稿されたもので、投稿主の女性は3回同じことが続いたとしている。この郵便受けはダイヤルを回し、数字を合わせることで開閉するタイプだったそうだ（NHK）。

NHKがこの件に関して日本郵便に問い合わせたところ、該当地域を担当する配達員が、荷物が郵便受けに入らない大きさだったことから、施錠されていた郵便受けを勝手に開けて入れていたと話しているという。日本郵便は不適切な行為であると認め、各郵便局に対して再発防止を求めたとしている。

headless 曰く、

英国政府の資金による No Place to Hide がソーシャルメディアメッセージのエンドツーエンド暗号化に反対するキャンペーンを開始した (キャンペーンサイト、 BetaNews の記事、 The Guardian の記事、 動画)。

キャンペーンではエンドツーエンド暗号化に反対するわけではなく、ユーザーのプライバシー保護には賛成だとする一方で、エンドツーエンド暗号化が児童性的捕食者に隠れ場所を与えることを防ぐテクノロジーを開発する必要があると主張する。

そのため、児童性的捕食者が性的な目的で子供に近寄ることや、子供の性的画像の共有や閲覧、捜査当局による検出の回避、といったことを容易にしないテクノロジーが利用可能であることを示さない限り、エンドツーエンド暗号化を実装しないようソーシャルメディア企業に要請している。

キングジムの製品で脆弱性問題があったという。一つはラベルプリンタ「テプラ」（PRO SR5900P・PRO SR-R7900P）。もう一つは同社の提供しているパスワードマネージャー「ミルパス」（PW10・PW20）に脆弱性が存在しているという。テプラでは認証情報の保護が不十分だったとされ、ネットワーク経由でアクセスできる場合、インフラストラクチャモードでアクセスポイントに接続するための認証情報が漏洩するおそれがあるとしている。すでに対策済みのアップデータが公開されている（キングジムリリース、Security NEXT、マイナビニュース）。

ミルパスはIDやパスワードなど最大200件を端末内部に保存して管理するツール。PW10とPW20のファームウェアに機微情報を暗号化していない脆弱性が存在することが判明したとしている。第三者により端末内の保存されたパスワードを窃取されるおそれがあるとしている。これらの製品はサポートを終了しており、キングジムは製品の使用を中止するよう利用者に呼びかけている。また廃棄時はデータをすべて消去することを求めている（パスワードマネージャー「ミルパス」PW10 / PW20 における機微な情報を暗号化していない脆弱性、Security NEXT）。