Security Watch さんが店じまいされてしまったので、 個人で追いかけてみるテストです。 備忘録として書いておくつもりなので、 Security Watch さんのような詳細なものではありません。 基本的なターゲットは UNIX、Windows、Mac OS (priority 順) とします。 また、このページの内容はどのページにも増して無保証であることを宣言しておきます。全ての情報が集まっているわけもありません。
ここに載せる情報については、可能な限り 1 次情報源へのリンクを作成しておきます。 各自で 1 次情報源の内容を確認してください。 このページの内容をくれぐれも鵜飲みにしないように。 間違いを発見された方、記載されていない情報をご存知の方、ぜひおしえてください。よろしくお願いいたします。
このページの情報を利用される前に、注意書きをお読みください。
》 デンマーク海軍、中国の貨物船 Yi Peng 3 を拘束。 バルト海海底ケーブル切断の件。
Danish Navy Stopped a Chinese Ship Suspected of Damaging Undersea Cables (defence24.com, 11/20)
Danish Navy Shadows Chinese Cargo Ship After Baltic Sea Cable Damage (The War Zone, 11/21)
Danish military says it's staying close to Chinese ship after data cable breaches (reuters, 11/21)
Swedish police focus on Chinese ship after suspected undersea cable sabotage (Guardian, 11/20)
》 米グーグルに「クローム」売却要求、検索独占解消に向け-司法省 (ブルームバーグ, 11/21)。反トラスト法への対応。
司法省と各州の反トラスト法執行担当者は、グーグルのウェブブラウザーの「強固な支配」が判決で指摘された事実を踏まえ、クロームを同社は売却せざるを得ないと主張。スマホ基本ソフト(OS)「アンドロイド」も売却が望ましいが、グーグルなどが反対しかねないとの認識に基づき、一連の制限を課す是正措置を代わりに提示した。
(中略)
司法省と各州は、潜在的ライバル企業の自社製品改善に役立つよう基礎となる「クリック&クエリー(検索要求)」データと検索結果のライセンシング(使用許可)をグーグルに義務付ける案も示した。人工知能(AI)製品からオプトアウトできる能力をウェブサイトにさらに持たせ、広告主が掲載先をもっと管理できるようにすべきだと裁判所に要請した。関連: U.S. Proposes Breakup of Google to Fix Search Monopoly (NYTimes, 11/20)
》 イオンカード、不正利用に関するテレビ報道受け声明 「一日も早く安心してもらえる環境整備に努める」 (ITmedia, 11/21)。テレ朝「グッド!モーニング」 で取り上げられたそうで。
本日の一部報道について (イオンカード, 11/21)
イオンカード、不正利用の対応遅れを謝罪 「カード止めてと依頼しても止まらず、数十万円請求された」などの声 (ITmedia, 10/9)。この件がようやくテレビ報道されたということですかね。
「イオンカード」の不正利用が急増した根本原因 なぜここまで返金対応が遅れているのか (ITmedia, 10/10)
今回のイオンカードの不正利用について大枠での動きをまとめると、フィッシングメールなど何らかの手段でユーザーから得たカード番号やログイン情報を使って悪意のある第三者がApple Payへのクレジットカード登録を行い、この際に強制的にひも付けられる「iD」を利用してリアル店舗での買い物を連日繰り返した点にある。上限金額にして1万円ほど、これを連日異なる店舗での買い物に利用し、買い物通知は本来の利用者には届かず、後で請求が送られてきた時点で初めて気付くといった具合だ。
さらに、「クレカを止めても請求が止まらない」という事態まで発生している。ここで用いられているのが「オフライン取引」と呼ばれるものだが、複雑なメカニズムなので本稿での解説は省く。詳細について興味ある方は手前味噌だが筆者の別記事を参照してほしい。複数のシステムを安易に連接したところ予期しない攻撃を受けた、 という話のようだ。
「イオンカード」・「イオンフィナンシャルサービス」・「イオン銀行」の名前を装った不審なメールにご注意ください。 (イオンカード)
》 電動キックボード「LUUP」の「交通違反」目撃続出 運営会社は「見つけたら警察に通報を」 (弁護士ドットコムニュース, 11/16)
関連こたつ: 「対策を丸投げ」電動キックボードLUUP「交通違反は通報を」他人事回答にあふれる憤激「警察をコールセンター扱い」 (FLASH / Yahoo, 11/19)
》 O4 耐量子計算機暗号はインターネットにどのような影響をもたらすか (Internet Week 2024)。 カードや ATM のような、PQC への対応が容易ではない製品・サービスは廃棄される可能性があるという話が出てきて、おぉぅと思ったり。関連:
凸版印刷とNICT、世界初、米国政府機関選定の 耐量子計算機暗号をICカードシステムに実装する技術を確立 (TOPPAN, 2022.10.24)。確かに、周辺システム全てが対応する必要があるからなあ。
預金取扱金融機関の耐量子計算機暗号への 対応に関する検討会 (金融庁)。ここの資料がまとまっているように思う。
》 Details of Baltic Sea Cable Incident Remain Murky as Danish Navy Shadows Chinese Vessel (gCaptain, 11/19)。 バルト海海底ケーブル切断の件、 デンマーク海軍が 中国の貨物船 YI PENG 3 を容疑ありとしている模様。
The incident is reminiscent of a similar event in 2023 when the Balticonnector between Finland and Estonia was damaged. Hong Kong-registered container vessel NewNew Polar Bear was later found to have dragged its anchor across the pipeline.2023 年の同様事例では中国のコンテナ船 NewNew Polar Bear が原因だったと。関連:
バルト海のパイプライン損傷調査、中国のコンテナ船が関与の可能性 (crame1000, 2023.10.26)
Three Baltic pipe and cable incidents 'are related', Estonia says (reuters, 2023.10.27)
バルト海の損傷したパイプライン近くでアンカー回収 (crame1000, 2023.11.09)
China admits container ship Newnew Polar Bear damaged undersea gas pipeline (news.err.ee, 8/12)
》 履歴書の顔写真「露骨」に影響 人事担当のバイアス、実験で明らかに (朝日, 11/11)
》 第47回JPNICオープンポリシーミーティング開催のご案内 (JPNIC)。歴史的経緯がわからないと読み解けない文書ってあるよなあ、と思ったり。
関連:
インターネット歴史の一幕: JNICからJPNICへ、そしてAPNICの設立 ~平原正樹さんとの思い出 (村井 純 / JPNIC, 2008.11)。 RIR の成立について、当事者の回想。
こうしてJNICが無事発足し、日本国内でのインターネット資源管理を行うようになった1992年当時、世界の中でIPアドレスの割り当てを行うための機関は、ヨーロッパ地域を対象とする地域レジストリであるRIPE NCC、日本を対象とするJNIC、アメリカおよび全世界を対象とするThe NICの三つのみであり、アジア太平洋地域を対象とする地域レジストリはまだ存在していませんでした。インターネット歴史の一幕: APNICの誕生 (中山雅哉 / JPNIC, 2007.11)
最初に登場したRIRは、1992年4月に発足したヨーロッパ地域を統括するRIPE(Reseaux IP Europeens)/NCC(Network Coordination Centre)です。そして、1993年4月にThe NICは、InterNICとして新たなスタートを切りました。(中略) このような状況の中、1993年1月にホノルルで開催された APCCIRN(Asia-Pacific Coordinating Committee for International Research Networking)会議において、アジア・太平洋地域の RIRにあたるAPNIC設立に向けた調査・実験が提案されました。Section 7.2 APNIC (Asia Internet History Project, 2013.02.17)
RIRの状況報告 (JPNIC Open Policy Meeting (IP-USERS) on Internet Week 2002, 2002.12.16)。「2002/10/31 ICANN上海会議にて LACNICを4番目のRIRとして最終承認」
RFC
RFC1366 - Guidelines for Management of IP Address Space (IETF, 1992.10)
RFC1466 - Guidelines for Management of IP Address Space (IETF, 1993.05)
RFC2050 - INTERNET REGISTRY IP ALLOCATION GUIDELINES (IETF, 1996.11)
関連: 第2回 JPNIC Open Policy Meeting (JPNIC, 2002.07.09)。「RFC2050の現状と問題点・・・ 」
RFC7020 - The Internet Numbers Registry System (IETF, 2013.08)
JPトップレベルドメインの再委任請求に関するIANA報告書(日本語訳) (IANA / JPRS, 2002.02.08)。「事実および手続きの背景説明」に歴史的経緯が書かれている。
1986年8月5日、すなわち1984年および1985年の、現在のドメインネームシステム(RFC921参照)を採用してまもなくのこと、JP ccTLDは、Jon Postel博士 (当時、情報科学研究所でIANA機能を担当していた)によって、村井純氏に委任された。これは、ある意味で、ドメイン名を国および地域に割り当てるテストケースとなった。当時、Postel博士は、一般的な慣行としてccTLDに関する権限および責任を信頼できる個人に委任していた。The Origins of ccTLD Policymaking (Peter K. Yu, 2004)
0-day 欠陥への対応です。 JavaScriptCore CVE-2024-44308 WebKit CVE-2024-44309。 intel ベースの Mac への 攻撃が確認されているそうで。
全体
iOS / iPadOS
About the security content of iOS 18.1.1 and iPadOS 18.1.1 (Apple, 2024.11.19)
About the security content of iOS 17.7.2 and iPadOS 17.7.2 (Apple, 2024.11.19)
visionOS
About the security content of visionOS 2.1.1 (Apple, 2024.11.19)
macOS
About the security content of macOS Sequoia 15.1.1 (Apple, 2024.11.19)
Safari
About the security content of Safari 18.1.1 (Apple, 2024.11.19)
PAN-OS の管理 Web インタフェースに 0-day 欠陥。 認証を回避できる欠陥 CVE-2024-0012 と権限上昇を許す欠陥 CVE-2024-9474 があり、結果として remote から管理者権限を奪取できる。
現時点では限定的な攻撃だそうだが、既に情報が公開されており、「今後本脆弱性を悪用する攻撃が増加する可能性があります」だそうです。
》 バルト海の海底ケーブル2本が切断される 「故意の損害の疑い」と独とフィンランドが表明 (ITmedia, 11/19)
》 [gnutls-help] gnutls 3.8.8 (gnutls, 11/5)。 iida さん情報ありがとうございます。
》 Defending the Tor network: Mitigating IP spoofing against Tor (Tor Project, 11/8)
》 New Release: Tor Browser 14.0.2 (Tor Project, 11/13)。 14.0.1 で Firefox ESR 128.4.0 ベースになっている。 iida さん情報ありがとうございます。
》 メルカリ、サポート対応を巡り謝罪 問い合わせ多数で「心配かけて申し訳ない」 体制の見直し・強化へ (ITmedia, 11/18)
関連:
話題のツイート
メルカリで窃盗にあいました。
— にゃーちゃん (@akkord841) November 11, 2024
新品未開封のプラモデルを発送しました。
購入者からパーツ破損のためキャンセルしたいと連絡があり、メルカリからの指示もあり返品に応じました。
着払いで届いた商品を開封すると中身がほとんど抜き取られ、ゴミが入っていた。
どうしたらいいのか知恵をください。 pic.twitter.com/MUfpw2Gxco返品めぐり「メルカリ」で利用者トラブル 何が…? (日テレ / Yahoo, 11/15)
メルカリ“詐欺被害”訴え続出も…本社「コメント差し控え」 被害者は怒り「騒動になったら手のひら返し」 (ENCOUNT / Yahoo, 11/15)
「万引きにあった本の売り場だと思ってる」元書店員がメルカリの現状に嘆いた話…とある書店が照合したら逮捕に至った話も (togetter, 11/16)
》 Salesforceの障害は「誤ったコマンド」含むDBメンテが原因か 同社が報告 (ITmedia, 11/18)
》 着信番号に「+」が付いていたら要注意! 身に覚えのない国際電話がかかってきたら詐欺の可能性“大” (Internet Watch, 11/15)
》 Kindle初のカラーE Ink端末、不具合による返品を巡って混乱。レビューも異例の低評価に (やじうま Watch, 11/18)。Kindle Colorsoft。
》 AppleがTLSサーバー証明書の有効期間を45日間に短縮することを提案 (Japanese PKI Blog, 11/2)、 SC-081: Introduce Schedule of Reducing Validity and Data Reuse Periods (GitHub)
》 Biden Allows Ukraine to Strike Russia With Long-Range U.S. Missiles (NYTimes, 11/17)。遂に?
President Biden has authorized the first use of U.S.-supplied long-range missiles by Ukraine for strikes inside Russia, U.S. officials said.
The weapons are likely to be initially employed against Russian and North Korean troops in defense of Ukrainian forces in the Kursk region of western Russia, the officials said.関連:
”ウクライナにロシア領内への長距離ミサイル使用許可”米報道 (NHK, 11/18)
北朝鮮派兵、NATOが確認 参戦なら米は兵器使用に新制限課さず (ロイター, 10/29)
米国防総省は、北朝鮮が戦闘に加わった場合、米国はウクライナによる米兵器の使用に新たな制限を課さないと発表した。北朝鮮兵の戦闘参加が確認された↓ので発表内容を実行に移した、ということですかね。
米 “北朝鮮兵士がロシア軍と軍事作戦を始めたことを確認“ (NHK, 11/13)
北朝鮮兵のウクライナ派兵は「深刻な状況激化」、独首相がプーチン氏に伝える 約2年ぶり電話会談 (BBC, 11/16)
FG-IR-24-423 - Missing authentication in fgfmsd (2024.10.24)
Fortinet製FortiManagerにおける重要な機能に対する認証の欠如の脆弱性(CVE-2024-47575)等に関する注意喚起 (JPCERT/CC) が 11/15 付で更新されている。
2024年11月15日時点で、本脆弱性(CVE-2024-47575)の詳細を解説する情報や、本脆弱性を実証するコード(Proof-of-Concept)などが公開されていることをJPCERT/CCは確認しています。また、本脆弱性とは別の脆弱性が同製品に存在するという指摘や、既知の調査方法で検出されないような脆弱性の悪用方法を解説する情報も確認しています。
JPCERT/CCは国内の組織から本脆弱性が悪用された可能性を示すログが確認されたという情報を複数確認しており、実証コードなどを用いた攻撃が増加する可能性があります。本脆弱性や本製品について、今後も新たな情報が公開される可能性がありますので、引き続きFortinetなどが公開する最新の情報を注視の上、対策や調査を実施いただくことを推奨いたします。
》 Blueskyのユーザー数、米大統領選後1週間で100万人以上増加 (ITmedia, 11/14)。イーロン・マスクのせいだよなあ。
》 Meta、EUから巨額制裁金 「Facebook Marketplace」で独禁法違反 (ITmedia, 11/15)
》 Windows Update、2024年12月のプレビューリリースは配信なし。お休み (ニッチなPCゲーマーの環境構築Z, 11/14)
》 米アマゾンがアウトレットサイト「Haul」を開設 中国「SHEIN」や「Temu」に対抗 (BBC, 11/15)
》 Amazonが障害のある従業員のリモートワークのルールを改悪、手続きを複雑化して在宅勤務がほぼ不可能に (gigazine, 11/14)
》 警察庁「闇バイトは犯罪」「あなたは使い捨て」強い言葉で警告 (ITmedia, 11/15)、 犯罪実行者募集情報に関する広報について (警察庁, 11/14)
》 「Z李こと田記容疑者ら逮捕ーー『トクリュウ』の司令塔と見てか」 (アクセスジャーナル, 11/15)。関連:
「Z李」運営の男ら5人逮捕 “トクリュウ”の可能性 (テレ朝, 11/14)
「反社」かと聞かれて「セーフっぽくない?」と否定した…逮捕の「Z李」 アウトロー感を演出、慈善活動する日も (東京, 11/14)
》 仮想環境でNPUは動くのか?Arm版Windowsの「Hyper-V」でInsider Previewビルドを動かしてみよう (窓の杜, 11/15)。「しかしNPUは動かない」。
》 ちゃんと動いてる? まだ使える? Wi-Fiルーターのファームウェア自動更新設定やサポート期間を見ておこう (Internet Watch, 11/12)
》 専門知識ナシでも安全に使える「DLPA推奨Wi-Fiルーター」はどこが違う? ポイントとその効果を聞く (Internet Watch, 11/12)
PostgreSQL
PostgreSQL 17.1, 16.5, 15.9, 14.14, 13.17, and 12.21 Released! (PostgreSQL, 2024.11.14)。セキュリティ修正 4 件を含む。
CVE-2024-10976: PostgreSQL row security below e.g. subqueries disregards user ID changes
CVE-2024-10977: PostgreSQL libpq retains an error message from man-in-the-middle
CVE-2024-10978: PostgreSQL SET ROLE, SET SESSION AUTHORIZATION reset to wrong user ID
CVE-2024-10979: PostgreSQL PL/Perl environment variable changes execute arbitrary codeIntel 各種
Intel、2024年11月度のセキュリティ情報を公開。計44件、多すぎ (ニッチなPCゲーマーの環境構築Z, 2024.11.14)。 Severity rating は Low 〜 High で Critical のものは無いそうです。
Adobe Bridge / Audition / After Effects / Substance 3D Painter / Illustrator / InDesign / Photoshop / Commerce
「Photoshop」や「Illustrator」、「After Effects」などのAdobe製品に致命的な脆弱性 (窓の杜, 2024.11.13)。Priority はいずれも 3。
Zoom
「Zoom」に複数の脆弱性 ~情報漏えい等の恐れ (窓の杜, 2024.11.14)
》 車暴走、35人死亡 43人負傷、62歳男拘束―中国・珠海市 (時事, 11/12)、 中国・珠海の車暴走 当局は献花台を撤去 (AFP, 11/13)、 「日本人か。取材させるな」 外国記者集う街で暴走、情報統制に疑問 (朝日, 11/13)。ほんと、すぐ隠蔽するねえ。
》 「哨戒ヘリが航空機を撃墜!?」画期的なミサイルを使った実験が成功する「将来的には敵艦攻撃能力も」イギリス海軍 (乗りものニュース, 11/14)。Martlet (missile) (Wikipedia) の件。
関連: ロシアの大規模ドローン攻撃からウクライナの空を守る「マートレット」ミサイルとは (ニューズウィーク日本版, 2023.12.07)。誘導兵装は高価なのでねえ。
》 [深層NEWS]中国の最新ステルス戦闘機「エンジンに問題、十分な性能ないのでは」…小原凡司氏 (読売 / msn, 11/13)。中国空軍 J-35 が黒煙を吹いていた件。 こちら: 【深層NEWS】航空ショー初公開も不具合か?中国・新型ステルス戦闘機「殲35」“米国に並んだ”戦力誇示…性能は?電磁式カタパルト対応で空母艦載型も▽台湾めぐる米中戦力差は?中国戦力増強に米国の対応は (日テレ / YouTube, 11/13)。
J-20 の複座型 J-20S も登場だそうで。 後席は無人機操作要員だとか? MQ-28 ゴーストバット (ウィキペディア) (Royal Wingman と呼ばれていた奴) みたいなのを複数機従えるような状況だと、専属の操作要員が欲しい気はする。
》 「Xは有害」――英有力紙「ガーディアン」、記事のポスト停止へ マスク氏は「彼らは下劣」と投稿 (ITmedia, 11/14)
》 幻冬舎コミックス、Xへの画像投稿は「AI学習阻害・ウォーターマーク付き」で 11月15日の規約変更を理由に (ITmedia, 11/14)。関連:
Xの「サービス利用規約」更新での主な変更点 (ITmedia, 10/19)
ARMY目線:Xの利用規約変更【2024/11/15~】 (音色 / note, 11/13)
11/15以降もオプトアウト(AI学習遮断機能)があるかは不明です。規約的には、X利用してる時点で利用に同意してる状態になるから。「ユーザーや第三者による不快なコンテンツについて責任を負わない」と明言されました。
他のSNSと比較しても、明確にプラットフォーム提供側として責任回避の姿勢を示し、ユーザーの自己責任による利用を強く打ち出したことになります。「ユーザーが規約に違反した場合、損害賠償を請求できる」という項が新たに設けられました。
》 「レールガン」研究の近況、装備庁が発表 “弾丸の安定した飛翔”に成功 電源の小型化も検討中 (ITmedia, 11/14)
》 米国 NIST NIST SP 800-232(初期公開ドラフト) 制約されたデバイスのためのAsconベースの軽量暗号標準: 認証された暗号化、ハッシュ、拡張可能な出力機能 (まるちゃんの情報セキュリティ気まぐれ日記, 11/14)、 ASCON Suite (rweather.github.io)
》 2024とくほう・特報 兵庫前知事 パワハラ・私物化の実態 民間イベント出演要求 サクラ・事業脚色 (しんぶん赤旗, 11/10)
》 商用もOK ~「VMware Workstation」「VMware Fusion」が完全無償化 (窓の杜, 11/13)。「商用・教育用・個人用を問わず利用できる」「有償サポートを望んでも購入できなくなる」。
》 北海道猟友会がヒグマ駆除拒否へ 全71支部に通知検討 猟銃所持許可取り消し訴訟の高裁敗訴受け (北海道新聞, 11/14)。そりゃそうなるわなあ。関連:
ヒグマ頻出も「撃てない…」 駆除のハンター、銃を奪われる「警察側は早く返して」 (小笠原淳 / 弁護士ドットコムニュース, 2020.08.19)
「ヒグマ駆除に悪影響」 猟銃訴訟・二審で逆転敗訴…原告ハンターは上告、今は「丸腰」で現場に (小笠原淳 / 弁護士ドットコムニュース, 11/2)
北海道のハンターが控訴審で逆転敗訴|ヒグマ駆除めぐる銃所持許可取り消し事件 (小笠原淳 / ニュースサイト ハンター, 10/22)
ヒグマ駆除の協力者を犯罪者に仕立てた砂川署と公安委|札幌地裁が異例の現地調査 (小笠原淳 / ニュースサイト ハンター, 10/28)
出ました。89 MS CVE + 3 non-MS CVE。 CVE 番号が太字なのは critical (最大深刻度: 緊急) 扱い。
- .NET と Visual Studio CVE-2024-43498 CVE-2024-43499
- Airlift.microsoft.com CVE-2024-49056
- Azure CycleCloud CVE-2024-43602
- Azure Database for PostgreSQL CVE-2024-43613 CVE-2024-49042
- LightGBM CVE-2024-43598
- Microsoft Defender for Endpoint CVE-2024-5535
- Microsoft Edge (Chromium ベース) CVE-2024-10826 CVE-2024-10827
- Microsoft Exchange Server CVE-2024-49040
- Microsoft Graphics コンポーネント CVE-2024-49031 CVE-2024-49032
- Microsoft Office Excel CVE-2024-49026 CVE-2024-49027 CVE-2024-49028 CVE-2024-49029 CVE-2024-49030
- Microsoft Office Word CVE-2024-49033
- Microsoft PC Manager CVE-2024-49051
- Microsoft Windows DNS CVE-2024-43450
- Microsoft 仮想ハード ドライブ CVE-2024-38264
- SQL Server CVE-2024-38255 CVE-2024-43459 CVE-2024-43462 CVE-2024-48993 CVE-2024-48994 CVE-2024-48995 CVE-2024-48996 CVE-2024-48997 CVE-2024-48998 CVE-2024-48999 CVE-2024-49000 CVE-2024-49001 CVE-2024-49002 CVE-2024-49003 CVE-2024-49004 CVE-2024-49005 CVE-2024-49006 CVE-2024-49007 CVE-2024-49008 CVE-2024-49009 CVE-2024-49010 CVE-2024-49011 CVE-2024-49012 CVE-2024-49013 CVE-2024-49014 CVE-2024-49015 CVE-2024-49016 CVE-2024-49017 CVE-2024-49018 CVE-2024-49021 CVE-2024-49043
- TorchGeo CVE-2024-49048
- Visual Studio CVE-2024-49044
- Visual Studio Code CVE-2024-49049 CVE-2024-49050
- Windows Active Directory 証明書サービス CVE-2024-49019
- Windows CSC サービス CVE-2024-43644
- Windows Defender アプリケーション制御 (WDAC) CVE-2024-43645
- Windows DWM Core ライブラリ CVE-2024-43629 CVE-2024-43636
- Windows Kerberos CVE-2024-43639
- Windows NT OS カーネル CVE-2024-43623
- Windows NTLM CVE-2024-43451
- Windows SMB CVE-2024-43642
- Windows SMBv3 クライアント/サーバー CVE-2024-43447
- Windows Update Stack CVE-2024-43530
- Windows USB ビデオ ドライバー CVE-2024-43449 CVE-2024-43634 CVE-2024-43637 CVE-2024-43638 CVE-2024-43643
- Windows VMSwitch CVE-2024-43625
- Windows Win32 カーネル サブシステム CVE-2024-49046
- Windows カーネル CVE-2024-43630
- Windows タスク スケジューラ CVE-2024-49039
- Windows テレフォニー サービス CVE-2024-43620 CVE-2024-43621 CVE-2024-43622 CVE-2024-43626 CVE-2024-43627 CVE-2024-43628 CVE-2024-43635
- Windows パッケージ ライブラリ マネージャー CVE-2024-38203
- Windows レジストリ CVE-2024-43452 CVE-2024-43641
- Windows 保護カーネル モード CVE-2024-43631 CVE-2024-43640 CVE-2024-43646
- ロール: Windows Hyper-V CVE-2024-43624 CVE-2024-43633
0-day が 4 件。
Microsoft Exchange Server のなりすましの脆弱性 CVE-2024-49040 (Microsoft, 2024.11.12)。情報公開のみだが「悪用される可能性が高い」。
2024 年 11 月 12 日 (米国時間) にリリースした Exchange Server 向け更新プログラムは、インストールに加え、追加の手順を実施する必要があります。詳細については、Exchange Server non-RFC compliant P2 FROM header detection を参照してください。問題となりそうなメールの検出と X-MS-Exchange-P2FromRegexMatch ヘッダの追加はデフォルトで行うけど、その後さらに操作をしたい場合には追加の手順が必要ということみたい。
Active Directory 証明書サービスの特権の昇格の脆弱性 CVE-2024-49019 (Microsoft, 2024.11.12)。情報公開のみだが「悪用される可能性が高い」。
NTLM ハッシュ開示スプーフィングの脆弱性 CVE-2024-43451 (Microsoft, 2024.11.12)。攻略プログラムも出現済み。
Windows タスク スケジューラの特権の昇格の脆弱性 CVE-2024-49039 (Microsoft, 2024.11.12)。攻略プログラムも出現済み。
関連:
Microsoft November 2024 Patch Tuesday (SANS ISC, 2024.11.12)
【Windows10】 WindowsUpdate 2024年11月 不具合情報 - セキュリティ更新プログラム KB5046613 (ニッチなPCゲーマーの環境構築Z, 2024.11.13)
【Windows11】 WindowsUpdate 2024年11月 不具合情報 - セキュリティ更新プログラム KB5046633 / KB5046617 [Update 1] (ニッチなPCゲーマーの環境構築Z, 2024.11.13)
文字入力中にアプリがクラッシュする不具合。Windows11 23H2 / 22H2で発生 [Update 1: 24H2 / Server 2025でも発生] (ニッチなPCゲーマーの環境構築Z, 2024.11.13)。KIR で対応されるそうです。
Windows11 23H2が唐突にサ終!?Windows Updateに誤ってサ終と表示される不具合。KB5046633インストール後に発生。正しいサポート期限は2025年11月11日までなのでご安心を (ニッチなPCゲーマーの環境構築Z, 2024.11.13)。 「この不具合が発生しても気にせず放っておいてください。わざわざWindows11 24H2へとアップデートする必要はありません」。
Chrome 131.0.6778.69 (Linux) および 131.0.6778.69/.70 (Windows / Mac) が stable に。12 件のセキュリティ修正を含む。関連:
Tuesday, November 12, 2024 (Google, 2024.11.12)。Chrome 131 (131.0.6778.39) for Android。
》 Amazonが2023年のセキュリティ侵害で従業員情報が盗まれたことを認める (gigazine, 11/12)
》 「卵が先かニワトリが先か」問題の答えが判明か (gigazine, 11/8)
ジュネーブ大学理学部の研究者で論文の筆頭著者でもあるマリーン・オリヴェッタ氏は「今回の結果にしたがうと、自然は『ニワトリを発明する』よりはるか前に『卵を作る遺伝的ツールを持っていた』ことになります」と述べ、「卵が先かニワトリが先か」論争の答えはやはり「卵が先」である可能性が高いとしました。
》 北からのジョブオファー: ソフトウェア開発者を狙うContagious Interview (マクニカ セキュリティ研究センターブログ, 10/29)。北の国から。
》 課徴金制度の導入論で前回大荒れとなった「3年ごと見直しに関する検討会」をClaudeに解説させてみた (高木浩光@自宅の日記, 11/11)
》 解雇された米国ディズニー元従業員による不正アクセスについてまとめてみた (piyolog, 11/9)
》 米国CISAが注意を呼びかけたRDP構成ファイルを添付したフィッシングについてまとめてみた (piyolog, 11/6)
》 当社におけるサポート詐欺の不正アクセスに伴う 情報漏えいのおそれがある事案の発生について (ウエルシア薬局, 11/8)
10 月 24 日に当社従業員がサポート詐欺のウェブサイトへ誘導され、遠隔操作ソフトをインストールさせられたことにより、不正なアクセスを受けた関連: 一部のお客様におけるパスワードの変更のお願い (ウエルシア薬局, 11/8)
》 これが闇バイト募集の手口──犯罪コミュニティーの“誘い方”、NTTコムが実際の文面付きで注意喚起 (ITmedia, 11/11)
》 テレビ朝日、7月の障害の原因は「中性子線の衝突」 半導体の進化でソフトエラー発生率は上昇 (ITmedia, 11/8)
》 万博前売り券 販売ペース急落 消えぬ不安 赤字の危機 (しんぶん赤旗, 11/10)。高い、ショボい、爆発の危険あり、ではねえ。
》 コロナ禍で減便 滋賀県など6団体 JRにダイヤ回復を要望 (NHK, 11/12)
滋賀県によりますと、県内のJR路線は3年前(令和3年)の3月以降、減便が続いていて、このうち、▼湖西線の近江舞子ー近江今津間や、▼北陸線の米原ー長浜間、▼それに草津線の草津−貴生川間では、平日の昼間のダイヤがそれまでの1時間に2本から半分の1時間1本に減便されています。こんなに減ってるのか。 知らんかった。
》 JNSA標準化部会セミナー 「IoTセキュリティ標準化の動向を知る」 (JNSA)。2024.11.15、東京都港区 / Zoom ウェビナー, 無料。 会場分は受付終了、Zoom ウェビナーは受付可能。
》 高病原性鳥インフルエンザ 北海道・旭川市の養鶏場で確認 約4万4000羽の鶏を殺処分へ 今シーズン、全国8例目 (TBS, 11/12)。昨年度は 11/25 が初発生だったのに、今年度は 11/12 の時点で既に 8 例目。関連:
令和6年度 鳥インフルエンザに関する情報について (農林水産省)
令和5年度 鳥インフルエンザに関する情報について (農林水産省)
》 鳥インフル、ヒトの肺で増えやすく 米国感染者のウイルスを東大分析 (朝日, 11/10)。H5N1 の件。 「乳牛でH5N1感染が広がる米国では乳牛から人への感染も散発的に起きており」、 マジヤバいんだよね。
トレンドマイクロ Deep Security Agent (Windows版)
アラート/アドバイザリ:不適切なアクセス制御によるローカル権限昇格の脆弱性(2024年10月):Deep Security Agent(Windows版) (トレンドマイクロ, 2024.11.01)
curl
CVE-2024-9681 HSTS subdomain overwrites parent cache entry (curl, 2024.11.06)
Changes in 8.11.0 - November 6 2024 (curl, 2024.11.06)
Android
Androidの2024年11月セキュリティ更新が公表 ~悪用の可能性がある問題も2件 (窓の杜, 2024.11.06)
》 【独占スクープ】玉木雄一郎氏「高松観光大使」元グラドルと隠密不倫デート&地元ホテルで逢瀬…取材には「家族との話し合いが終わっていない」 (Smart FLASH, 11/11)
香川県の政界関係者から、本誌「SmartFLASH」はこんな証言を入手していた。
「地元関係者の一部で、以前から『玉木氏が不倫している』という噂が流れていました。イベントなどで一緒になる女性と、距離感がとても近いんです。それだけでなく、2人が高松市内のホテルに入って行く姿が、複数回目撃されていたからです」
(中略)
「警戒しているのか、いつも小泉さんがホテル近辺のコンビニなどに長時間滞在し、玉木氏がホテル内に入ると、時間差で小泉さんも入るという行動を見せていました。私も2022年後半以降にその様子を2回、目撃しています」昨日今日はじまった話では全くないと。
関連:
国民・玉木代表、不倫疑惑報道受け謝罪「おおむね事実です」 (朝日, 11/11)
ツイート
というか3月にこういう投稿しておいて自身が7月にホテル密会というのは……。「セキュリティ・クリアランス」とはなんだったのか。 https://t.co/CGGkiL9V5K pic.twitter.com/37ubFAe8Cl
— 北守さん (@hokusyu1982) November 11, 2024
》 掃海艇「うくしま」火災 (11/10) → 転覆 (11/11)
うくしま (掃海艇) (ウィキペディア)。木製です。
海自掃海艇「うくしま」火災 消火困難で乗組員退避、30代男性機関士1人が不明 (産経, 11/10)
火災の海自掃海艇が転覆、機関員の3等海曹なお不明 福岡沖、転覆により火は消える (産経, 11/11)。転覆というか、ほぼ沈没状態。
海自掃海艇火災、船体が転覆し鎮火 3等海曹が安否不明 福岡沖 (毎日, 11/11)。「エンジンルームにいたとみられる古賀辰徳3等海曹(33)が取り残されて安否不明となっている」。
》 「気象衛星ひまわり」の「赤外画像」で障害 復旧見通し立たず (NHK, 11/11)
》 古いWindows Serverが意図せず「Windows Server 2025」へ更新される現象、Microsoftが認める (窓の杜, 11/11)
》 「DDoS攻撃はビジネスとして複数の料金プランを提示」「乗っ取ったルーターをプロキシとして提供」―横浜国大 吉岡教授に聞く、家庭用Wi-Fiルーター悪用の実態 (Internet Watch, 11/11)
》 Amazon、Fireタブレットの「Showモード」がアップデートでひっそり廃止。大きな機能後退 (やじうま Watch, 11/11)
Showモードとは、Fireをスマートディスプレイ「Echo Show」そっくりの画面に切り替え、音声での応答を可能にするモード (中略) 機能としては大きな後退で、Showモードを使うためにFireを購入したユーザーの反発は避けられそうにない。
》 松本人志さんが訴え取り下げ、コメント発表へ 文春「性加害」報道 (朝日, 11/9)
松本さん側が8日夕に訴えを取り下げて訴訟を終了させ、松本さんと文春側がコメントを発表することで合意したという。全文: 松本人志氏のコメント全文 (時事, 11/9)
松本において、かつて女性らが参加する会合に出席しておりました。参加された女性の中で不快な思いをされたり、心を痛められたりした方々がいらっしゃったのであれば、率直におわび申し上げます。「いらっしゃったのであれば」は、おわびじゃない。 うやむやにしているだけ。
この間の一連の出来事により、長年支えていただいたファンの皆さま、関係者の皆さま、多くの後輩芸人の皆さんに多大なご迷惑、ご心配をおかけしたことをおわびいたします。応援団と子分には素直におわび。ほんと気持ち悪い。
》 KADOKAWA、フリーランス「買いたたき」…一方的に雑誌ライターらの作業代引き下げ (読売, 11/8)
関係者によると、KADOKAWA側は2023年初め、レタスクラブの記事の作成や写真撮影を委託する20以上の事業者に対し、原稿料や撮影代を同年4月号の掲載分から引き下げる通告を行ったという。取引条件の変更に関する事前協議はなく、引き下げ率が数十%に達したケースも複数あったとみられる。事業者には、個人事業主として働くフリーランスが多くを占めていた。
》 PC画面に「ウイルス感染」表示、40万円のギフトカード購入させる 特殊詐欺事件 八重山署 沖縄 (琉球新報, 11/8)
》 「FC2」創業者を逮捕 京都府警 わいせつ動画公開容疑で (産経 / ITmedia, 11/9)。「高橋理洋(りよう)容疑者(51)」。
》 タイミーが闇バイト求人に注意喚起 ネットでは「怪しげな投稿が多数」の声 (ITmedia, 11/9)
タイミーを巡っては、犯罪やそれにくみする行為の隠語らしき語が入った求人が複数あるとの指摘が、4日週に入ってから相次いでいた。関連:
ツイート
まさにこの方の自宅にやってきたの、コレ系ではないかと
— 🐥🥚ひよこ-低浮上するする詐欺アカウント🥚🐥 (@jjaappaannhhiiy) November 7, 2024
猫=防犯カメラの業界用語だそうですhttps://t.co/QvNkQdP35g
》 「マンガ図書館Z」サイト停止の背景を創設者の赤松健さんが説明 SNSでは決済代行会社による「焚書」と強い反発 (ITmedia, 11/6)
山田議員は、マンガ図書館Zの停止について「現時点では、決済代行会社の判断なのか、アクワイアラからの指示によるものなのか分かりません。今後、表現の自由、コンテンツ取引の自由を守って行く為には、特定の国際ブランド(本社・支社)との交渉だけではなく、国内だけでも数多く存在するアクワイアラや決済代行会社と交渉していく必要があります」と指摘している。アクワイアラとは、日本語で加盟店契約会社のこと。Visa/Mastercard/JCBなどのカードブランドからライセンスを得て加盟店の開拓や管理を行っている企業を指す。
》 ペイメントアプリ改ざん、クレカ情報1.8万件流出か 創価学会の仏具など販売「博文栄光堂」ECサイト (ITmedia, 11/7)
》 AI時代のサイバーセキュリティでの新たな共創に向け、KDDIによるラックの公開買付けに合意 (LAC, 11/7)。ほぉ。
》 SCSK株式会社による当社との経営統合に向けた公開買付けに関する 賛同の意見表明及び応募推奨のお知らせ (ネットワンシステムズ, 11/6)。へぇ。
》 Microsoft、「Windows Server 2025」の一般提供を開始 (窓の杜, 11/5)
》 韓国・仁川の地下駐車場でメルセデス・ベンツ EQE が突如炎上 (8/1)。こんなのあったのね。知らんかった。
EQE (メルセデス・ベンツ)
EV1台の火災が予想外の大惨事に…地下駐車場で車40台全焼しマンション5棟で停電 /仁川 (朝鮮日報, 8/3)
Mercedes EV parked for 59 hours suddenly explodes (KOREA NEWS / YouTube, 8/6)。炎上する様子。激しく燃えております。
マンション地下駐車場で火災 メルセデス・ベンツ「EQE」はなぜ聞いたこともない中国製電池を使ったのか (朝鮮日報, 8/9)
EV離れが急速に進む韓国 原因となった「火災事故」が示すEVの問題点 (クーリエ・ジャポン, 11/7)。元記事はたぶんこれ: A Mercedes-Benz Fire Jolts South Korea’s E.V. Transition (NYTimes, 8/27)
火災原因は不明のまま、韓国政府がEV恐怖症払拭に躍起 (日経 xTECH, 9/2)
相次ぐ火災事故により、韓国ではEV(電気自動車)の販売が激減 (Forbes / Yahoo, 9/11)
120兆ウォン規模の市場を揺るがす韓国人のEV恐怖症 (朝鮮日報, 9/16)
需要低迷の韓国EV産業に火災恐怖症が追い打ち…内需が崩壊すれば輸出も危うい (朝鮮日報, 9/18)
EVは不便で不安であっても進まざるを得ない道だ。今後10年前後で韓国、欧米などの主要国で自動車排出ガス規制が本格的に導入され、EV市場はさらに拡大せざるを得ない構造だ。例えば、米政府が定めた2032年の炭素排出可能量は、自動車の燃費に換算すると1リットル当たり24.6キロだ。新車の平均燃費がこの水準をクリアしなければ、数億~数十億ドルの罰金を払わなければならない。最近のハイブリッド車の燃費が通常は同14~18キロしかないことを考えれば、ハイブリッド車では対応が難しい。「米政府が定めた2032年の炭素排出可能量」を第2次トランプ政権がそのままにするかどうかは不明なわけなのだが……。
EV火災でベンツオーナーが集団訴訟 「バッテリー情報偽った」=韓国 (朝鮮日報, 10/10)
対応策? (本質的な原因究明は?)
ソウル市、90%以上充電されたEVのマンション地下駐車場入場を制限へ…火災対策で (朝鮮日報, 8/10)
EV火災のバッテリーは「中国製」 ベンツ韓国法人が全モデル公開 (聯合ニュース, 8/13)
政府、EV火災事故を受け、バッテリー製造会社の公開などの対策決定 (韓国) (JETRO, 8/15)。決定は 8/13。
韓国EV炎上を機に「全公開」、22ブランドの電池サプライヤーはこれだ (日経, 8/29)
EVバッテリー情報公開 勧告から義務へ=韓国政府 (朝鮮日報, 9/6)
韓国で相次ぐ“EV火災” 不安広がり…政府が対策を発表 (日テレ, 9/8)
一連の火災は車のバッテリーを最大容量を超えて充電する「過充電」が原因だと指摘されています。
日本ではすでに8年前から対策が取られていますが、韓国政府も対策に乗り出しました。
過充電防止装置がついた新たな充電器をことし2万台、さらに来年は7.1万台増設すると発表しました。中国の電池大手が「発火対策の強化」を訴える事情 韓国のEV火災事故を受け、イメージ低下を警戒 (財新 Biz&Tech / 東洋経済, 9/18)
王氏はまた、電池への負担が大きい頻繁な急速充電が車載電池の性能に明らかな影響を与え、発火リスクを高める可能性があることも指摘した。いまさらかよ……。
韓国で走る中国製EVバス、バッテリーの安全検査困難【独自】 (朝鮮日報, 10/25)
同様事例?
韓国SKオン製バッテリー搭載の起亜EV6から出火…「フル充電状態で充電器が差し込まれていた」 /忠南・錦山 (朝鮮日報, 8/7)
ポルトガルでも駐車場でEV火災、テスラから出火し200台以上全焼 (朝鮮日報, 8/19)、 【動画】ポルトガルの駐車場で200台全焼の火災…燃え広がる赤い炎と上空を覆う黒煙 (朝鮮日報, 8/19)。「現地メディアによると、レンタカー会社の駐車場で大規模火災が発生」。
》 「IoT×生成AI」5つの活用法 生成AIがIoTを次のステージに (Business Network, 11/7)
IoTと生成AIを組み合わせることで、具体的にどんな成果が得られるのか。ソラコムでCTO of Japanを務める松井基勝氏が「想定以上の成果が得られた」と話すのが、三菱電機、松尾研究所と行った空調機器制御の実証だ。
(中略)
使用したのは、Open AIのGPT-4/4V。「事前学習やチューニング、RAGも使ってない状態で空調制御をやってみたら、結構うまくいってしまった。生成AIが、こうした用途に非常にマッチしていることが再確認できた」と松井氏。事前プロセスに時間・コストをかけることなく省エネ効果が確認できたうえ、快適性についても平均26%の改善効果が見られたという。
Chrome 130.0.6723.116/.117 (Windows / Mac) および 130.0.6723.116 (Linux) 公開。 2 件のセキュリティ修正を含む。関連:
Chrome for Android Update (Google, 2024.11.05)。 Chrome 130 (130.0.6723.102) for Android。
2024.11.08 追記:
「Microsoft Edge」で2件のセキュリティ修正 ~v130.0.2849.80へのアップデートを (窓の杜, 2024.11.08)
》 VMwareの料金体系変更をめぐる裁判の行方 Broadcomの“言い分”は? (ITmedia, 10/24)。ああ言えば上祐。
関連: 脱VMware旋風が吹き荒れる中、Broadcomはなぜ“余裕”なのか? (ITmedia, 10/30)。
Info-Tech Research Groupのスコット・ビックリー氏(アドバイザリープラクティスリード)は次のように語った。
「Broadcomは断片的なビジネスには興味がないため、この広範なビジョンに賛同しない中小規模の顧客を失っても構わないと考えている。統合された機能スタックに十分な対価を支払ってくれる顧客を求めている」(ビックリー氏)シノギを払えない奴らはバッサリ切り捨てると。
》 サポート終了後のWindows 10に、個人向けの延長サポート(ESU)が初めて提供 (窓の杜, 11/1。「個人向けのESUは、年額30米ドルで提供される」。
》 不正アクセスによる個人情報漏洩に関するお詫びと調査結果のご報告 (下鴨茶寮, 10/31)。 カレルチャペックと同様に、 「ペイメントアプリケーションの改ざん」による。
》 国の機関が「実習生」への違法行為に関与 ついに機構側が問題を認めて和解へ (今野晴貴 / Yahoo, 10/31)。おめでとうございます。
この裁判は、技能実習制度のもとで横行していた事業主や監理団体による不当労働行為に、取り締まり機関であるはずの技能実習機構が加担していたことについて、被害に遭った仙台けやきユニオンが提訴した裁判である。 (中略) 今回の和解内容では、技能実習機構が自身の行った行為を不適切な行為と認め損害賠償を実施するという内容となっており、技能実習機構が責任をとった点で画期的だ。
》 【第23回大佛次郎論壇賞受賞】『戦争とデータ ―死者はいかに数値となったか』 (関西大学, 1/30)。Kindle 版が月替わりセールに含まれていたおかげで知った。
関連: 戦争のデータを解き明かす~「民間人の死亡者8,490人」は誰が調べたのか (関西大学, 2023.06.06)。刊行時の記事。
Apple 方面 (iOS / iPadOS, tvOS, watchOS, visionOS, macOS) (2024.10.29)
そういえば Safari も遅れて出てました。
About the security content of Safari 18.1 (Apple, 2024.10.29)