米ペンシルベニア東部地区連邦地裁のWendy Beetlestone判事は10月30日、TikTokによる米国でのサービス提供を11月12日以降禁ずる米商務省の措置に対して事前差止を命じた(The Vergeの記事、 Ars Technicaの記事、 裁判所文書: PDF)。

米商務省はTikTokを国家安全保障上の脅威と位置付ける大統領令に基づき、9月18日に措置を発表していた。この措置は米国向けアプリストアでのTikTokアプリ提供を9月20日以降(翌日9月27日以降に変更)禁じ、11月12日以降はアプリの機能を有効にしたり最適化したりするための米国向けホスティングサービスなどの提供を禁じる内容だ。

アプリ提供禁止措置についてはTikTokが米大統領などを訴えた裁判でコロンビア特別区連邦地裁が9月に事前差止を命じているが、今回の裁判はTikTokでコンテンツを公開して収入を得る3人のコンテンツクリエイターが提起したものだ。原告側は11月12日以降TikTokのサービス提供が禁じられれば回復不可能な損害を受けるとして事前差止を請求していた。

判事は措置の根拠となるInternational Emergency Economic Powers Act(IEEPA)がメディア形式や伝達方法を問わず情報素材の規制を禁じており、TikTokのショートビデオはこれに該当すると判断。TikTokが国家安全保障上の脅威であるとの位置付けは仮定的なものであり、商務省の措置がIEEPAに違反する可能性が高いことを原告側が示した以上、この脅威が公共の利益を上回るとは判断できないとも述べている。

GoogleのProject Zeroは10月30日、Windowsカーネルのゼロデイ脆弱性(CVE-2020-17087)を公表した(Project Zero - Issue 2104、 The Registerの記事、 Neowinの記事、 BetaNewsの記事)。

この脆弱性はWindowsカーネルの暗号処理ドライバー(cng.sys)に存在するバッファーオーバーフローの脆弱性で、悪用するとローカルでの特権昇格が可能になる。PoCは最新のパッチ適用済みの64ビット版Windows 10 バージョン1903でテストされているが、脆弱性は少なくともWindows 7以降に存在するとみられる。

修正は11月の月例更新で提供される見込みだが、この脆弱性を悪用する攻撃が既に確認されているため開示期限はベンダーへの報告から90日後ではなく、7日後となっている。確認されている攻撃は標的型攻撃で、米国の選挙を標的にしたものではないという。Chromiumベースのブラウザーの脆弱性(CVE-2020-15999)と連携してリモートからの攻撃も可能とのことだが、こちらはChrome 86.0.4240.111で修正済みだ。