headless 曰く、

Microsoft は 14 日、Microsoft Dynamics 365 と Power Platform の報奨金プログラムおよび、M365 の報奨金プログラムにシナリオベースの報奨金を追加すると発表した (Microsoft Security Response Center の記事、 Softpedia の記事)。

シナリオベースの報奨金は影響が大きな特定のシナリオにおける脆弱性の発見に対し、報奨金を上乗せするものだ。Microsoft Dynamics 365 と Power Platformの報奨金 プログラムでは、テナント間情報漏洩のシナリオに最高 2 万ドルの報奨金が設定されており、M365 の報奨金プログラムではコードインジェクションによる信頼できない入力を通じたリモートからのコード実行シナリオにボーナス最高 30 % など、複数のシナリオで報奨金の 15 % ～ 30 % のボーナスが上乗せされる。

窓の杜の記事によると、オープンソースの解凍・圧縮ソフト「7-Zip」に特権昇格とコマンドの実行が可能になる未修正の脆弱性（CVE-2022-29072）が存在することが分かったという（窓の杜、Penetration Testing、Github）。

v21.07までのWindows版「7-Zip」にはファイルマネージャープロセス（7zFM.exe/7-zip.dll）のヒープオーバーフローと「Microsoft HTML ヘルプ」（HTML Help Executable Program/hh.exe）のコマンド実行機能を組み合わせることで、管理者モードでコマンドが実行できる機能が存在する。ここに拡張子を.7zにしたファイルをドラッグ＆ドロップすると特権昇格とコマンドの実行が可能になるとのこと。7-Zipの開発側は原因はMicrosoftのヘルプビューワー側にあると主張している。緩和策としては7-zip.chmのヘルプファイルを削除する方法があるが、最終的には7-zipとMicrosoftのヘルプビューワー両方の修正が必要になる模様。

週刊文春電子版の記事によると、ロシアで位置情報を用いた出会い系アプリ「Tinder（ティンダー）」が人気なのだそう。ウクライナ情勢で戦争の長期化や補給の不足、そもそもの士気の低さなどロシア兵の問題は様々な報道で指摘されているが、記事によるとTinderはプライベートな通信であることから、普段以上に気を許してしまう傾向が強まるらしい（週刊文春 電子版）。

文春記事では位置情報をウクライナ第2の都市ハルキウに設定し、実際に試してみたらしいのだが、表示される相手の10人に一人はロシア兵と思われる状況になったそうだ。国籍や出身地を明記していたり、ロシア国旗入りの服を着ていたりしており、またほぼ間を置かずに「マッチング成立」の通知が届く状態だったとしている。なお英国の諜報機関などはTinderや同性愛者向けの出会い系アプリGrindrを使ってロシア兵の情報収集などを行っている模様（Daily Mail Online）。