米国家安全保障局 (NSA) は 10 日、メモリ安全性の問題に対応するためのガイダンスを公開し、可能な限りメモリ安全なプログラミング言語を使用するよう推奨した (プレスリリース、 The Register の記事、 ガイダンス: PDF)。

Microsoft は 2019 年、過去 12 年間の Microsoft 製品の脆弱性は 70 % がメモリ安全性に起因すると述べており、Google も 2020 年に Chromium の重大な脆弱性の 70 % がメモリ安全性に起因すると述べていた。

広く使われているCやC++などの言語はメモリ管理の自由度が高い一方で、必要なメモリ参照の確認はプログラマーに強く依存する。ソフトウェア解析ツールを使用すればある程度の保護は可能になるが、メモリ安全な言語はそれ自体がメモリ管理の問題の多くに対応可能な保護機能を提供する。そのため、可能な場面ではメモリ安全な言語の使用が推奨されるとのこと。メモリ安全な言語の例としては、C#・Go・Java・Ruby・Rust・Swift が挙げられている。

すべて読む | デベロッパーセクション | セキュリティ | プログラミング | デベロッパー |

関連ストーリー：
NSA曰く、新しい暗号規格にバックドアはない 2022年05月15日
米インテリジェンスコミュニティ、不正広告攻撃を防ぐため広告ブロックテクノロジーを導入していた 2021年09月27日
ジェームズ・ゴスリン曰く、未だ人類はポインタの不具合に囚われているのか 2020年10月12日
米国国家安全保障局（NSA）、位置情報を漏らさないようにするためのガイダンスを公開 2020年08月13日
Chromiumプロジェクト、重大度の高いセキュリティバグの約70％がメモリに由来すると発表 2020年05月28日
Google、Android 11 Developer Preview 3を公開 2020年04月29日
Microsoft、1月のセキュリティ更新プログラムで米NSAから報告された脆弱性を修正 2020年01月18日
米NSA事件から6年、スノーデンは大衆監視を防ぐことはできなかった 2019年06月06日
米国家安全保障局、リバースエンジニアリングツール「Ghidra」を予告通り公開 2019年03月10日
米NSA局長曰く、発見した脆弱性のほとんどは公表している 2014年11月09日
米国家安全保障局、Cisco製品にバックドアを仕込んでいた？ 2014年05月16日
NSA、大規模なハッキングを目的として自動システムを開発していた 2014年03月18日
FBIなどがネット企業と協力して個人データを収集していたことがNSAのシステム管理者のリークにより明らかに 2013年06月12日
メモリ操作の安全性を確保する、ANSI C規格準拠C言語コンパイラ 2008年04月16日
J2MEにBytecode検証の脆弱性 2004年10月23日

Microsoft は 10 日、Windows 11 バージョン 22H2 (2022 Update) で一部のゲームやアプリのパフォーマンスが予想よりも低くなる問題を認め、該当環境に 22H2 のセーフガードホールドを適用した (Windows 11、バージョン 22H2 の既知の問題と通知、 Neowin の記事、 Windows Central の記事、 Ghacks の記事)。

22H2 はリリース当初から一部のゲームでのパフォーマンス大幅低下が報告されている。NVIDIA は 22H2 で追加された新しいグラフィックスデバッグツールが意図せず稼働することが原因だと指摘していたが、Microsoft は Windows 11 でゲームのパフォーマンスを最適化するにはセキュリティ機能の一部を無効化すればいいなどとお茶を濁していた。

今回 Microsoft はパフォーマンス低下の原因が GPU パフォーマンスのデバッギング機能であることをようやく認め、この機能は消費者の使用を想定していないが、影響を受けるゲームやアプリが意図せず有効化していたと説明。回避策としてゲームやゲームに関連するアプリのアップデートを紹介しつつ、22H2 の自動アップデートをブロックするセーフガードホールドを適用した。

現在 Microsoft では問題の解決に努めており、今後リリースする更新プログラムで修正を行う計画を示している。対象デバイスでは手動で 22H2 へのアップグレードを実行しないことが推奨される。

すべて読む | ITセクション | グラフィック | バグ | Windows | ゲーム | IT |

関連ストーリー：
Xbox Game Barで録画したことのある環境、Windows 11 22H2のブロック対象に 2022年11月07日
Windows 11のメモリ整合性無効化でIntel Arcのパフォーマンスも向上するという報告 2022年11月06日
Windows 11 22H2、タスクマネージャー実行中にUSBドライブの安全な取り外しが失敗する 2022年10月26日
Windows 11 22H2、Delphi/C++Builder製アプリが日本語変換時にクラッシュ 2022年10月18日
Microsoft 曰く、Windows 11 でゲームのパフォーマンスを最適化するオプションはセキュリティ機能の一部無効化 2022年10月10日
Windows 11 バージョン 22H2、更新プログラムのチェックを実行したすべての対象デバイスに提供拡大 2022年10月08日
Windows 11 22H2マシンに巨大ファイルをコピーするとスループットが大幅に低下する問題 2022年10月07日
Windows11 2022 Update リリース 2022年09月23日

Tesla は 1 日、ファームウェア更新でパワーステアリングによる補助が低下または失われた可能性のある 2017 年 ～ 2021 年式 Model S と Model X およそ 4 万台のリコールを米運輸省道路交通安全局 (NHTSA) に報告した (リコール報告書: PDF、 The Register の記事)。

影響を受けるファームウェアバージョンは 2022.36 および 2022.36.4。Tesla は予期せぬステアリング補助のトルク検出を向上させるべく、10 月 11 日に幅広いロールアウトを開始した 2022.36 でパワーステアリングシステムのキャリブレーション値を更新。ところが 10 月 18 日には特定の Model S / Model X で更新されたキャリブレーション値に関連したアラートが増加する。道路の凹凸などを予期せぬステアリング補助のトルクとして検出することが原因で、ステアリング操作時にドライバーが力を入れる必要が出てくる。特に低速時に影響が大きく、事故のリスクが増加するという。

米国内で実際に影響を受けた可能性のある車両は 11 月 1 日時点で 314 台が特定されているが、これによる死傷者の発生は確認されていないとのこと。10 月 19 日にはキャリブレーション値を元に戻したファームウェアバージョン 2022.36.5 がリリースされており、11 月 1 日時点で対象車両の 97% に 2022.36.5 以降がインストール済み。2022.36.5 以降がインストールされた車両のオーナーは特に何もする必要はない。

すべて読む | ハードウェアセクション | ハードウェア | 電力 | バグ | アメリカ合衆国 | 交通 |

関連ストーリー：
Tesla、物理的な対応が必要なリコールを米国で届け出 2022年11月01日
Tesla、パワーウインドウの挟み込み防止機能が基準を満たさない 110 万台近くをリコール 2022年09月27日
米国家運輸安全委員会、停止している緊急車両にTesla車が衝突した事故の調査を格上げ 2022年06月13日
Tesla 車のファントムブレーキング問題、引き続き増加 2022年06月04日
Tesla 車の Boombox 機能、米連邦自動車安全基準違反でリコール 2022年02月12日
Tesla、状況によってシートベルト警告チャイムが鳴らない問題でリコールを発表 2022年02月06日
Tesla 車で急増するファントムブレーキングに関する苦情 2022年02月05日
テスラ、EV5万4000台をリコールへ。運転支援機能で一時停止を無視が問題視 2022年02月04日
米検察、Autopilot 有効時に死亡事故を起こした Tesla 車のドライバーを過失致死罪で起訴 2022年01月22日
Tesla、米当局が危険性の調査を開始した走行中のゲームプレイ機能を早速無効化 2021年12月26日
米国家運輸安全委員会、Tesla に運転支援システムが緊急車両を検出・対応する方法の説明を求める 2021年09月03日
Tesla、メディアコントロールユニットのeMMCをリコール 2021年02月04日

Windows 8.1 の延長サポート終了とともに、Intel Clover Trail 搭載 PC に対する Windows 10 のサポートが 2023 年 1 月 10 日で終了する (Microsoft のサポート記事)。

これについて あるAnonymous Coward 曰く、

Clover Trail (Intel Atom Z2760/Z2520/Z2560/Z2580) 搭載 PC は Windows 10 Creators Update (バージョン1703) で画面表示が壊れる不具合が発生し、 Windows 10 Anniversary Update (バージョン1607) によるサポートが延長された。Windows 10 Home and Pro のライフライクルに本件は記載されていないが、非 LTSB / LTSC にも関わらず 6 年 5 か月強にわたってサポートが提供されるバージョンとなった。

当方はこの Anniversary Update にも対応する必要があり、動作検証の枷となっていたが、あと 2 か月でお別れ出来そうです。皆様の周囲では Clover Trail 採用 PC、まだ生き残っていますか？

すべて読む | ITセクション | スラッシュバック | バグ | Windows |

関連ストーリー：
Windows 8.1 の延長サポート終了まで 200 日 2022年06月25日
旧型AtomはWindows 10 Creators Updateの対象外 2017年07月21日

Lenovo は 8 日、個人向けノート PC でセキュアブートを無効化可能な UEFI (BIOS) の脆弱性 3 件を公表した (セキュリティアドバイザリー、 ESET のツイート、 Neowin の記事、 Ars Technica の記事)。

発見した ESET によれば、3 件はいずれも UEFI の DXE ドライバーに存在する脆弱性で、管理者権限を持つ攻撃者が NVRAM 変数を変更することによりセキュアブート無効化などの設定変更が可能になるという。ESET が 4 月に公表した Lenovo の ノート PC の脆弱性と同様、今回の 3 件も製造プロセスでのみ使用することを目的としたドライバーを製品版に含めてしまったことが原因とのこと。

一方、Lenovo は CVE-2022-3430 を WMI Setup ドライバーの潜在的な脆弱性と説明しており、CVE-2022-3431 と CVE-2022-3432 では製造プロセスで使用するドライバーに潜在的な脆弱性が存在し、誤って無効化されなかったと説明している。

これらのうち CVE-2022-3430 または CVE-2022-3431(または両方)の影響を受けるのは国内未発売モデルを含めて計 54 製品。既に修正版ファームウェアアップデートが提供されており、適用すれば問題は解決する。CVE-2022-3432 は影響を受ける Ideapad Y700-14ISK の開発サポートが終了していることから修正版は提供されないとのことだ。

すべて読む | セキュリティセクション | セキュリティ | バグ | ノートPC |

関連ストーリー：
Pluton搭載Thinkpad Z13、デフォルトのファームウェア設定ではLinuxを起動できない 2022年07月11日
Lenovo幹部、中国向け製品にバックドアがあることを示唆 2018年09月21日
BIOS破損問題を修正したデスクトップ版Ubuntu 17.10.1のISOイメージが公開される 2018年01月14日
LenovoのPCにスパイウェアがプリインストールされているという疑惑がまた出る 2015年09月28日
Lenovo、ノートPCにWindowsを再インストールしても復活するダウンローダを仕込んでいた 2015年08月13日
ThinkPadなどのLenovo製品の利用を禁じる政府機関 2013年07月31日

pongchang 曰く、

ニューイングランド医学誌の記事によると、高校でマスクをすれば SARS-CoV-2 (新型コロナウイルス) 感染者を減らす効果が期待できるようだ (論文、 NHK の記事)。

研究では BA.1 の流行が収まった 3 月にボストン周辺の高校での「マスク義務の終了」を受けて最初の週からマスク無しにしてもよくした学区、2 週目に解禁した学区、3 週目に解禁した学区、マスク義務を継続した 2 学区を比較。最初に解禁した学区では 5 月半ばの BA.5 のピークにおいて千人あたり 25 例程の新型コロナ感染者が出たのに対して、2 週・3 週目に解禁した学区では 15 例前後と少なく、マスク義務を続けた ２ 学区は 10 例に満たなかった。マスク義務化免除 15 週間の累計では、マスク義務を継続した 2 学区で千人あたり 66.1 例だったのに対して、義務免除した場合 134.4 例だった。これにより、マスク免除で増加した症例は生徒と教職員千人あたり 44.9 例 (95 % 信頼区間、32.6 - 57.1)と推計されるとのことだ。

なお、マスク免除は感染の可能性が低いと考えられる学区 (比較的新しく状態のいい校舎が多く、ワクチン接種率が高い) で実施されており、COVID-19 リスクの残差交絡がマスク免除の害の軽視につながったことを示唆するとのことだ。

すべて読む | サイエンスセクション | サイエンス | 医療 |

関連ストーリー：
米 CDC、人口比にして 70 % 以上の地域で COVID-19 対策のマスク着用を必須としない新ガイドライン 2022年02月27日
マスク着用やワクチン接種済の客を乗車拒否するタクシー会社。米ミズーリ州 2021年08月11日
米 CDC、COVID-19 ワクチン完全接種済みの人にもデルタ変異株対策としてマスク着用を再び推奨 2021年07月31日
ワクチン接種完了者は無症状のままデルタ株を広げている。米専門家指摘 2021年07月16日
米CDC曰く、COVID-19ワクチン完全接種済みなら感染防止対策なしでパンデミック前と同じアクティビティが可能 2021年05月16日
米CDC曰く、COVID-19ワクチン完全接種済みなら人込み以外の屋外アクティビティでマスク不要 2021年04月29日
米CDC曰く、COVID-19ワクチン接種済みの人は米国内を安全に旅行できる 2021年04月05日
米CDC、COVID-19ワクチン完全接種済みの人向けの公衆衛生ガイダンスを公開 2021年03月12日
米テキサス州がマスクの着用義務を10日に解除へ。商業活動も再開 2021年03月05日

ドイツの KFC が「Reichspogromnacht」を記念してチーズソースをかけたフライドチキンを食べよう、などと顧客にプッシュ通知したことを謝罪している (The Register の記事、 Bild の記事、 Newsweek の記事、 The Local の記事)。

プッシュ通知は KFC アプリを通じて送信されたものだ。Reichspogromnacht (帝国迫害の夜) は 1938 年 11 月 9 日から 10 日にかけてナチが行ったユダヤ人への迫害行為を指し、割れたガラスが水晶のように見えたことから「水晶の夜」とも呼ばれる。KFC アプリはその後、システムのエラーにより誤った不適切なメッセージが送信されたとして謝罪し、再発防止に努めると説明するメッセージをプッシュ通知したという。

KFC は Newsweek の質問に答え、半自動化されたシステムが (祝祭日とは限らない) 国家的行事を含むカレンダーからコンテンツを生成したが、内部のレビュープロセスが適切に行われずに不適切なメッセージを共有してしまったと説明したとのことだ。

すべて読む | idleセクション | idle |

関連ストーリー：
ニュージーランド警察、オークランドに KFC のテイクアウトを大量に持ち込もうとしたギャングを逮捕 2021年09月22日
GitHub、内部向けSlackチャンネルでナチスへの懸念を示した従業員の解雇は誤りだったと謝罪 2021年01月19日
KFC、2020年には最も不適切なスローガンだとして「It's Finger Lickin' Good」の使用を全世界で当面中止 2020年08月27日
フォルクスワーゲンが人間や猿を対象に排ガス実験を行っていたことが発覚 2018年02月06日
ドイツにたどり着いた難民、かつての強制収容所に収容される 2015年09月15日