セキュリティソフトウェアBitdefenderがWindows 10の累積更新プログラムをマルウェアとしてブロックするトラブルが発生したそうだ(The Bitdefender Expert Communityのスレッド、 Bleeping Computer Technical Support Forumのスレッド、 Techdowsの記事、 Softpediaの記事)。

ブロックされたのは9月の月例更新で提供されたWindows 10 バージョン1903/1909の累積更新プログラム(KB4574727、ビルド18362.1082/18363.1082)。BitdefenderのExpert Communityフォーラムでの報告によると、KB4574727のCABファイルがTrojan.Ciusky.Gen.13として検出され、ブロックされたという。また、TiWorker.exe(ビルド18363.1073)もランサムウェア様の挙動がみられるとしてブロックされたとのこと。一方、Bleeping Computerのフォーラム投稿によると、CABファイルはブロック後も元の場所から移動されていなかったそうだ。

この動作は誤検知とみられていたものの、Bitdefender側の見解が出ないまま2日間放置されていたが、11日になって誤検知を修正したことが報告された。Bitdefenderが無害なファイルをTrojan.Ciusky.Gen.13として誤検知する問題は過去にも繰り返し発生しているようだ。

すべて読む | ITセクション | セキュリティ | バグ | Windows |

関連ストーリー：
Microsoft、Windows Defender ウイルス対策を無効にするレジストリ設定を削除 2020年08月22日
Microsoft Defender Antivirus、Microsoft関連ホストが指定されたhostsファイルを脅威として検出 2020年08月07日
セキュリティソフトウェアの多くが当面はWindows 7をサポート 2020年02月01日
Microsoft、プロセス分析ツール「Process Hacker」をマルウェア扱いして駆除 2019年12月13日
InteのIvy Bridge以降のCPUに新たな脆弱性が見つかる 2019年08月13日
Windows Defender、AV-TESTで満点を初めて獲得 2019年08月02日
Microsoft、無害なファイルがマルウェアと誤検知されるのを避けるための対策を紹介 2018年08月22日
AV-TESTによる家庭向けPCセキュリティ製品耐久テスト、1位はKaspersky 2017年08月25日
自己防御機能の強いセキュリティソフトは？ 2017年05月07日
ウイルス対策ソフト「Webroot」、誤検知でWindowsのシステムファイルを削除 2017年05月01日
Windows 7/8.1の月例更新、AMDマシンの一部で将来の更新プログラムがブロックされる問題 2017年04月16日
ウイルス対策ソフトウェアをマルウェアに変える攻撃「DoubleAgent」 2017年03月26日
WindowsにDefender以外のアンチウイルスソフト不要論にカスペルスキーが反論 2017年02月14日
Googleのエンジニア曰く、行儀のいいアンチウイルスはWindows Defenderだけ 2017年02月05日
トレンドマイクロにマルウェアと誤検知されたフリーソフトウェア開発者、問題はすでに解決済みとして経緯を再説明 2015年09月09日

iOS/iPadOS版のAdobe Lightroomで、アップデート(5.4.0)をインストールすると写真やプリセットが消失するトラブルが発生したそうだ(Adobeのサポート記事、 Photoshop Family Customer Communityの投稿、 9to5Macの記事、 Mac Rumorsの記事)。

Adobeによると、影響を受けたのはAdobeクラウドのサブスクリプションなしでモバイル(iOS/iPadOS)版のLightroomを使用しているユーザーおよび、まだAdobeクラウドに同期していない写真やプリセットがあるユーザーだという。Adobeでは問題の拡大を防ぐために修正版(5.4.1)をリリースしており、App Storeでは「一部のユーザー様が写真にアクセス不能となった原因とみられるバグを修正しました」と説明されているが、消失した写真やプリセットは復元されない。大量の写真や編集結果を失ったユーザーもいるようだが、バックアップがなければ復元手段はない。なお、今回の問題で影響を受けるのはiOS/iPadOS版Lightroomのみとのことだ。

すべて読む | アップルセクション | アップグレード | グラフィック | バグ | iOS | IT |

関連ストーリー：
キヤノンの写真クラウド「image.canon」、保存データの一部が消失 2020年08月07日
Android版Chrome 79、WebView使用アプリでデータ消失が発生してロールアウトを一時中止 2019年12月17日
音楽系SNSのMyspace、12年間にアップロードされたデータをすべて消失か 2019年03月25日
Microsoft、ファイル消失問題を修正したWindows 10 Insider Previewビルドをテスト中 2018年10月13日
Microsoft、Windows 10 October 2018 Updateのロールアウトを一時停止 2018年10月06日
英高等法院、修理でiPhoneのデータを消去された男性に対する賠償金の支払いをAppleに命じる 2015年12月04日

headless 曰く、

米環境保護庁(EPA)は10日、米疾病予防センター(CDC)が発見・開発した新たな有効成分「nootkatone」を虫除け剤および殺虫剤に使用可能な成分として登録したことを発表した(EPAのプレスリリース、 CDCのプレスリリース、 Evolvaのプレスリリース、 SlashGearの記事)。

nootkatoneはイエローシーダー(米ヒバ、ヌートカ)やグレープフルーツの皮に微量に含まれ、グレープフルーツの味と香りを特徴付ける成分だという。そのため、香水などの成分としては既に広く使われている。nootkatoneは蚊などの吸血昆虫およびマダニに対する忌避効果や殺虫効果があり、虫除け剤に使用した場合は既存の有効成分を使用した製品と同等の効果が数時間持続するとのこと。詳細は記載されていないが、殺虫剤としては既存のピレスロイドやリン酸エステル化合物、カルバミン酸エステル化合物、有機塩素化合物などとは異なる仕組みで効果を発揮するそうだ。

既存の殺虫成分に耐性を持つ吸血害虫が増える中、新しい有効成分は吸血害虫に媒介される疾病の予防に効果を発揮することが期待される。CDCと提携するEvolvaは「NootkaShield」というブランド名でnootkatone製品の開発計画を進めているが、その他の企業もEPAの審査に合格すれば製品を開発可能だ。nookatoneを使用する製品は早ければ2020年にも市場投入される見込みとのことだ。

すべて読む | ITセクション | バグ | サイエンス |

関連ストーリー：
シマウマの縞模様はアブを体にとまらせにくくする効果があるという研究結果 2019年02月27日
アース製薬、上場以来初の最終赤字。猛暑の影響か 2019年02月15日
DEET並みに蚊を寄せ付けない香水はフルーティフローラルの香り 2015年11月15日
消費者庁、空間用虫除け製品の効果に関する表示に合理的な根拠がないとして措置命令 2015年02月21日

Firefox 79が拡張機能データを格納するファイルの一部について、CCleanerがWebキャッシュとして削除する問題が発生している(Ghacksの記事、 Techdowsの記事、 Softpediaの記事)。

Firefox 79ではプロファイルフォルダー内に新たなファイル「storage-sync-v2.sqlite」が追加され、syncストレージ領域に保存する拡張機能データの保存先となる。CCleanerが削除(Custom Clean→Applications→Firefox→Internet Cache)するのは、これに付随して生成される一時ファイル「storage-sync-v2.sqlite-wal」「storage-sync-v2.sqlite-shm」の2つだ。

.sqlite-walファイルと.sqlite-shmファイルはSQLiteをWAL(Write-Ahead Log)モードで実行する際に生成されるもので、データベースへの変更はいったん.sqlite-walファイルに書き込まれる。そのため変更が.sqliteファイルへ適用される前に削除されてしまうと、データが失われることになる。

この問題はFirefox 79 beta 2での発生が7月1日にCCleanerのフォーラムで報告されたものの、ベータ版だからという理由で放置されていたようだ。Firefoxでは他のデータにもWALモードを使用しているが、Firefox終了後に変更が.sqliteファイルに適用されないのはstorage-sync-v2.sqliteのみとなっていることからバグと判断したのかもしれない。

しかし、これらのファイルは一時ファイルだとはいえ、プログラム側で削除しない限り変更が保存されていないことになるため、バグかどうかにかかわらずCCleanerが勝手に削除していいファイルではない。そもそも「Internet Cache」ですらないのだが、フォーラムではファイルを除外リストに入れる対策が話題の中心になっている。

すべて読む | ITセクション | ソフトウェア | バグ | idle |

関連ストーリー：
Microsoft曰く、CCleanerの特定バージョンのインストーラーは望ましくない可能性のあるアプリ 2020年08月02日
Firefox英語版でMaster Passwordの表記がPrimary Passwordへ変更。とりあえず日本語版はそのまま 2020年07月31日
Avast、サプライチェーン攻撃を受けていたことを公表 2019年10月24日
Microsoftコミュニティ、投稿から非表示にするWebサイトのブラックリストが存在する？存在しない？ 2019年09月28日
Mozilla、拡張機能全滅問題に対応する旧バージョンFirefox向け修正を拡張機能としてリリース 2019年05月18日
「CCleaner」に混入されたマルウェアは特定企業を狙った標的型攻撃だった 2017年09月26日
Piriformが32ビット版CCleanerのマルウェア感染を発表、最新版への更新を呼び掛け 2017年09月20日
AvastがPiriformを買収 2017年07月22日
MicrosoftのGov Maharaj氏、CCleanerについてはコメントしづらい 2015年10月12日

接触確認アプリ（COCOA）で新たな不具合が出ているようだ（NHK、shimajiro＠mobiler、Togetter）。

具体的には、アプリからプッシュ通知で「COVID-19にさらされた可能性があります」という通知が来たのにかかわらず、アプリを開いて接触確認を行うと「陽性者との接触は確認されませんでした」と表示されるというもの。厚生労働省は8月5日に「接触確認アプリ利用者向けQ＆A」を更新、こうした表示が出た場合はメールで連絡するよう告知している。

//NHKの部分入れ忘れたので修正

あるAnonymous Coward 曰く、

接触確認アプリ「COCOA」に不具合情報 厚労省が調査
https://www3.nhk.or.jp/news/html/20200806/k10012555161000.html

接触確認アプリで「陽性者との接触は確認できませんでした」と表示されても、アプリからプッシュ通知が来た場合は陽性者との接触があったと判断して行動してください
https://togetter.com/li/1571585

すべて読む | ITセクション | バグ | 医療 | IT |

関連ストーリー：
新型コロナ接触確認アプリが感染確認に。インストール率が人口の6割でなくとも効果はある 2020年08月05日
西村大臣、企業に対してテレワーク7割実現を要請へ。飲み会も自粛求める 2020年07月27日
新型コロナ接触確認アプリで発見された不具合、OSS利用をめぐる議論にまで発展 2020年06月24日
新型コロナウイルス接触確認アプリ「COCOA」試行運用開始 2020年06月19日

headless 曰く、

オーストラリア連邦科学産業研究機構(CSIRO)では、マーベルコミックスにちなんだ学名をムシヒキアブ科の昆虫5種に付けたそうだ(ニュースリリース、 BBC Newsの記事、 ABC Radioの記事、 BrytjeFlyGuyことCSIROのBryan Lessard氏による解説動画)。

Humorolethalis sergiusはデッドプールにちなんだ学名だ。他の昆虫を捕食するムシヒキアブ科は暗殺者であり、胸部の模様がデッドプールのマスクに似ていることが命名の理由だという。新設された属名のHumorolethalisはラテン語で濡れた・湿ったという意味を持つhumorosusと、死んだという意味のlethalisを組み合わせたもので、lethal humor(死を招くユーモア)にも音が似ているとのこと。

あとの4種はいずれもDaptolestes属で、「金髪の雷」を意味するDaptolestes bronteflavusはソー、「優雅な嘘」を意味するDaptolestes illusiolautusはロキ、「レザーを着た女」を意味するDaptolestes feminategusはブラック・ウィドウにちなんだ学名だという。さらに、サングラスと口髭のような顔の模様が特徴のDaptolestes leeiはマーベルコミックス原作者のスタン・リーにちなんで名付けられたとのことだ。

すべて読む | ITセクション | 映画 | アニメ・マンガ | バグ | サイエンス | idle |

関連ストーリー：
パンデミック中の自宅研究で新種の昆虫9種類が見つかった 2020年06月29日
Twitterがきっかけで発見された新種の菌、「Toglomyces twitteri」と名付けられる 2020年05月21日
上野アメ横に昆虫食自販機登場 2020年03月20日
タガメ、希少動物として規制対象に 2020年01月22日

あるAnonymous Coward 曰く、

NETGEARの無線LANルータ経由でファイル転送すると特定の条件下でデータが破損するというツイートが話題になっている（タレコミ時点で790RT）。

ツイート主のtokkyo氏によれば、APモードのR7800でデータをコピーすると毎度データが破損するこの現象は、海外のネットワーク製品コミュニティで既知のバグとして報告されていたようだ(R7800 data corruption when in Accesspoint mode | SmallNetBuilder Forums)。

昨年1月からのコミュニティの書き込みによれば、この現象は4～5年前の旧機種にあたるR7500でも発生していたといい、700MB程度の大きなファイルを転送する際に、無線/有線を問わず、SMB/FTP/SCPといったプロトコルで発生するという。NETGEARに問題を報告したユーザーによれば昨年10月時点では調査中だったようだが、その後のことは明らかになっていない。

ファイルが正常に転送されたかに見えて破損しているというのは、ぞっとする話である。

すべて読む | セキュリティセクション | ハードウェア | セキュリティ | バグ | IT |

関連ストーリー：
NETGEAR製品に幅広く影響するゼロデイ脆弱性が見つかる。ZDIが一斉公開 2020年07月03日
ハッキングコンテスト「Pwn2Own」、優勝チームが獲得した賞金は合計約2,100万円 2019年11月15日
54か国・50万台超のルータに感染しているというマルウェア「VPNFilter」 2018年05月29日
NETGEARのルーターで利用統計を収集しメーカーに送信する機能が追加される 2017年05月25日

アフリカでもサバクトビバッタの繁殖で蝗害が広がっているが、その蝗害を追跡するために「バッタハンター」なる職業があるそうだ。

この職業はバッタたちを追跡、駆除しやすい幼虫の段階で発見することを目的にしているようだ。またバッタハンターは、スマートフォンと専用に開発されたアプリを組み合わせ、バッタの様子を写真や動画で記録。バッタの群れの位置や規模や状況などのデータを拠点に送る役割を持つ。

送られたデータは共有され、テクニカルチームによって、国際的なモニタリングやバッタの進路予測などに使用される。予想された進路はその先にある国などへの警告に使われるほか、バッタの増殖を防ぐための農薬を飛行機を使うか、手動で散布するかといった散布計画の判断などにも使用されるとしている。

バッタハンターは国連食糧農業機関（FAO）や地域の政府によって教育され、バッタの探し方や、専用アプリであるeLocustの使用方法などが訓練されるそうだ（FAO、テレ東NEWS）。

すべて読む | ITセクション | 地球 | バグ | サイエンス |

関連ストーリー：
バッタの大群、インド首都にまで到達 2020年06月30日
アフリカでバッタ被害第二波 2020年04月14日
国連食糧農業機関が「昆虫は有望な食料」という報告書をまとめる 2013年05月16日

80個近いネットギア製のネットワーク製品に脆弱性があること報じられている。脆弱性を悪用された場合、攻撃者に管理者権限で任意のコードを実行される可能性があるとされる（マイナビ）。

あるAnonymous Coward 曰く、

トレンドマイクロが運営するZero Day Initiative (ZDI)は6月15日、NETGEAR製品に幅広く影響する計10件の脆弱性を公開した（JVNの発表）。 この脆弱性はTeam FlashbackのPedro Ribeiro氏とRadek Domanski氏、およびVNPT ISCを通じてd4rkn3ss氏によって報告された。10件中8件はリモートからの任意コード実行が可能となるもので、Web管理画面のCGIプログラムに対するバッファオーバーフロー攻撃などで発生する。JVNによると以下の諸問題のため、影響が深刻化するおそれがあるという。

1. 当該製品では httpd が root 権限で動作している
2. Netgear 製品では、バッファオーバーフロー対策に用いられる Stack cookie (カナリア値) が使用されていないものが多い
3. 本脆弱性の攻撃には認証を必要としない
4. CSRF 対策のトークンがチェックされる前の段階で本脆弱性の攻撃が可能
5. 機器の情報が /currentsetting.htm ページを閲覧するだけで取得できるため、攻撃者にとって攻撃対象の選定が容易

すでにZDIによってZDI-20-709の解説と実証コードが公開されているほか、サイバーセキュリティ組織のGRIMMも独自にZDI-20-712に相当する脆弱性を発見・報告しており、その解説と実証コードが公開されている。 ZDIでは2019年11月から2020年2月にかけてNETGEARに脆弱性を報告して公表に向けた調整を進めていたが、報告から120日が経過したため、修正プログラムの提供を待たず公表に踏み切ったという。NETGEARは6月18日にセキュリティアドバイザリを公開、一部製品については修正プログラムの提供を開始し、残る製品についてはリモート管理機能をオフにする回避策を推奨している。最大で80種類近くの製品が影響を受ける可能性があり、米CERT/CCが脆弱性の影響を受ける製品一覧とそれらの対応状況をGoogle スプレッドシートで公開している。

情報元へのリンク

すべて読む | セキュリティセクション | ハードウェア | セキュリティ | バグ |

関連ストーリー：
ハッキングコンテスト「Pwn2Own」、優勝チームが獲得した賞金は合計約2,100万円 2019年11月15日
54か国・50万台超のルータに感染しているというマルウェア「VPNFilter」 2018年05月29日
WPA2の脆弱性「KRACK」の対策が進む 2017年10月18日
NETGEARのルーターで利用統計を収集しメーカーに送信する機能が追加される 2017年05月25日
NETGEAR製ルータに脆弱性、対策の1つは「脆弱性を使用しhttpdを停止させる」 2016年12月15日

あるAnonymous Coward 曰く、

アフリカやアルゼンチンなど、世界各地で蝗害被害が報告されているが、インドでは首都ニューデリーにも「サバクトビバッタ」の大群が近づいている。CNNなどによると、一部はすでにニューデリーにも到達しているという（CNN、TBS、WIRED、朝日新聞）。

ニューデリー近郊のグルガオン市には27日の午前11時半に到達。数千匹が町に襲来した。インド政府はドラムや爆竹、太鼓などを鳴らして群れを追い払うなどの対策を住民に伝達。また、ドローンを使って殺虫剤を散布するなどの対処もしている模様。しかし、現地住民がアップしている写真や動画を見る限り、音だけで対処できる感じではないと思われる（スプートニク）。

日経新聞によれば、同じくニューデリー近郊のハリヤナ州にも到達したと報じられている。同州には農地が多いことから食料被害が心配される。同じハリヤナ州の都市グルグラムには日系の企業も数多く進出しているとされる（日経新聞）。

すべて読む | ITセクション | 地球 | バグ |

関連ストーリー：
アフリカでバッタ被害第二波 2020年04月14日
国連食糧農業機関が「昆虫は有望な食料」という報告書をまとめる 2013年05月16日
汎用「バカフィルタ」の開発始まる 2007年11月16日
インド、TikTokなどの中国製アプリの使用を禁止へ。国家安全保障上の理由から 2020年07月01日

京都市内のある喫茶店に数年前から、間違い電話が頻繁にかかってくるそうだ。喫茶店の店名は「コーヒーショップ　アマゾン」。同店に通販サイトのAmazonの利用者から間違い電話がかかってくるようになったのは２、３年前のことだという。多い時には月10回ほど間違い電話が来るようだ。

店の人が『こちらは喫茶店です』と答えても『ああ、喫茶部門の方ね。カスタマー部門につないでいただけますか』と言われたこともあったそうだ。喫茶店の人は対策として、今度から電話では『喫茶アマゾンです』と言うようにします」と話している（まいどなニュース）。

すべて読む | ITセクション | 日本 | バグ |

関連ストーリー：
喫茶店でAirPodを外すまで店員が注文を取りに来なかったのは良いことか悪いことか 2020年02月05日
美少女ゲームに登場する喫茶店の外観が実在する洋菓子店に酷似、店側は抗議を検討 2019年11月22日
旧来型メイドカフェがこの先生きのこる道は？ 2018年02月13日
飲食店で客の無線LAN使用を時間で制限するシステム 2016年10月04日
秋葉原のリナックスカフェ、12月25日をもって閉店 2011年12月03日

公開後すぐに不具合が発生したために停止され、その後再公開されるもまたすぐ不具合が確認されて再び停止していた厚生労働省の雇用調整助成金オンライン受付システムだが、再停止になった原因はWebブラウザで特定の画面を閲覧中に「戻る」操作を行うと特定の事業者の申請内容を表示するようになっていたためだという（ITmedia、NHK、日経xTECH）。

表示される情報には役員や従業員の氏名、生年月日、給与、法人の口座情報などが含まれていたとのこと。申請書類をダウンロードすることもできたようだ。厚生労働省はテストが不十分だったとしており、また不具合があるとして停止された最初のバージョンでもこの不具合が発生していた可能性が高い。

このシステムは富士通が約1億円で受注したもので、開発・保守・テストをそれぞれ3社に外注していた。

すべて読む | セキュリティセクション | セキュリティ | バグ | 情報漏洩 |

関連ストーリー：
不具合が見つかった雇用調整助成金オンライン申請、再開するもまたその日のうちに不具合が見つかって停止 2020年06月08日
雇用調整助成金申請システムで他人の個人情報を閲覧できる不具合が発覚、その影響でオンライン申請受付を一時停止 2020年05月21日
郵送とオンラインのハイブリッド給付金申請システム、非エンジニアの市職員が開発 2020年06月03日
特別定額給付金のオンライン申請は何度も手続きできる仕様になっている 2020年05月19日
高松市、特別定額給付金のオンライン申請の受付中止へ 2020年05月21日
マイナンバーカードの電子証明書発行システム、接続しにくくなるトラブル 2020年05月12日

taraiok曰く、

人気の高いオープンソースプロジェクトの上位54本を分析した結果、セキュリティの脆弱性が1年で2倍に増えていたことが判明した。2018年に報告されたバグは421個であったのに対して、2019年には968個に倍増していたという。RiskSenseの「The Dark Reality of Open Source」レポートによれば、2015年から2020年3月の間で人気オープンソースプロジェクトで2,694個のバグが発見されたとしている（ZDNet、Slashdot）。

Linux、WordPress、Drupalといった超人気プロジェクトに関しては、セキュリティバグがニュースとして報じられるため、このレポート内には含まれていないという。RiskSenseのレポートには、Jenkins、MongoDB、Elasticsearch、Chef、GitLab、Spark、Puppetといった、一般的な知名度は高くないがテクノロジーおよびソフトウェアコミュニティで広く利用されているプロジェクトを対象としている。

今回の調査で同社は、多数のセキュリティバグが公開されてから数週間が経過した後で脆弱性データベースNational Vulnerability Database（NVD）に報告されたことを問題視している。54のプロジェクトで発見されたバグに関しては、NVDに報告されるまでに平均で約54日を必要とした。PostgreSQLではPostgreSQLでは8か月に及ぶ報告の遅れが見られたとしている。こうしたレポートの遅延により、企業が攻撃にさらされたままになっている状況が発生していたとしている。

すべて読む | オープンソースセクション | オープンソース | セキュリティ | バグ |

関連ストーリー：
アカウント情報流出通知サービス「Have I been pwned?」、通知メール内のテキストが原因でSQLインジェクション脆弱性を意図せず突く 2020年06月09日
お名前.comが顧客に提供する管理ツールに脆弱性が見つかる、コインチェックなどがこれを狙った攻撃を受ける 2020年06月05日
Chromiumプロジェクト、重大度の高いセキュリティバグの約70％がメモリに由来すると発表 2020年05月28日
オープンソースソフトウェアの脆弱性、2019年は前年から50％近く増加したとの調査結果 2020年03月14日

headless曰く、

アカウント情報流出通知サービスHave I been pwned?（HIBP）からの通知メールがIT資産管理ツールGLPIのSQLインジェクション脆弱性を意図せず突き、GLPIを使用している企業のヘルプデスクに登録されていたサポートチケットをすべて上書きするトラブルが発生したそうだ（fyr.io、The Register）。

問題の脆弱性CVE-2020-11032はSQLインジェクション文字列を含むチケットを登録し、addme_assignまたはaddme_observerボタンをクリックするとSQLインジェクションが引き起こされるというものだ。この脆弱性はGLPI 9.4.6で修正されており、問題発生時にはGitHubで既に公開されていた。しかし、この時点ではGLPIプロジェクトのダウンロードページは更新されておらず（5月29日のInternet Archiveスナップショット）、影響を受けたMatt氏の会社では脆弱性のあるGLPI 9.4.5を使用していたそうだ。現在はGLPIプロジェクトのダウンロードページでもGLPI 9.4.6が公開されているものの、あわてて差し替えたのかバージョンの下には9.4.5と同じ日付（18/12/2019）が記載されている。

HIBPからの通知メールには「';--have i been pwned?」というロゴが入っているのだが、画像ではなくテキストであり、これがSQLインジェクションを引き起こしたらしい。Matt氏の会社ではヘルプデスクのサポートアドレスを通知先としてHIBPに登録しており、このアドレスで受信した電子メールは自動でチケットに登録される仕組みになっていたという。そのため、Matt氏がチケットを自分に割り当てたところSQLインジェクションが引き起こされ、登録済み全チケットの説明フィールドの内容が消去されてHIBPロゴの一部に置き換えられてしまったとのこと。

Matt氏は実験を繰り返し、「';-- "」の6文字を入力したフィールドが影響を受けることを確認。ここまで手間をかけたうえでバグを報告しようとGitHubページを訪れたところ、1か月近く前に修正済みだったと知ることになる。チケット自体は前夜にバックアップを取っていたため、失われたデータは少なかったとのことだ。

すべて読む | オープンソースセクション | オープンソース | セキュリティ | バグ | idle | 情報漏洩 |

関連ストーリー：
パナソニック、同社製機内エンターテインメントシステムの脆弱性で旅客機乗っ取りが可能になるという主張に反論 2016年12月23日
米国防総省の懸賞金付きバグ探しプログラム「Hack the Pentagon」、成功を受けて拡大へ 2016年06月23日
「安全なウェブサイトの作り方」改訂第7版が公開 2015年03月16日