HP / Samsung / Xerox のプリンタードライバーに 2005 年から存在していた特権昇格の脆弱性 (CVE-2021-3438) について、発見した SentinelLabs が解説している(Sentinel Labs のブログ記事、 BetaNews の記事)。

この脆弱性は IOCTL を通じてユーザーモードから送信されたデータのサイズをカーネルドライバーが検証しないために発生する。攻撃者は実際の入力サイズよりも大きなサイズをパラメーターに指定することでバッファーオーバーランを引き起こし、SYSTEM の権限でコードを実行できる。ただし、単独で攻撃に使用する手法は見つかっておらず、実際の攻撃で使用するには他のバグと組み合わせる必要があるとのこと。

脆弱性の影響を受ける約 400 機種はすべて HP 製で、5 月 19 日に 修正版ドライバーがリリースされた。HP / Samsung のプリンターに関しては、対象機種がその後追加されている(HP / Samsung のアドバイザリー、Xerox のアドバイザリー: PDF)。

すべて読む | ハードウェアセクション | セキュリティ | HP | ソフトウェア | プリンター | バグ |

関連ストーリー：
Windows Serverに17年前から存在していたバグが修正される 2020年07月18日
11年前にLinux版のFirefox 2で報告されたバグ、Firefox 57で修正へ 2017年09月09日
Linuxカーネルに11年以上前から存在する特権昇格の脆弱性「Dirty COW」が修正される 2016年10月22日
Firefox 41、14年前に報告されたバグの修正でAdblock Plus使用時のメモリー消費量が大幅に減少 2015年09月26日
TLS/SSL実装に20年前からの脆弱性、影響範囲は広範 2015年03月11日
Microsoft、18年にわたってWindowsに存在した脆弱性を修正 2014年11月15日
FFmpegのLZO実装コードに脆弱性、20年前から存在 2014年07月02日

Windows の Print Spooler サービスで最近見つかったゼロデイ脆弱性「PrintNightmare」について、Microsoftがセキュリティアドバイザリーを公開している(CVE-2021-34527、 The Verge の記事、 BleepingComputer の記事、 BetaNews の記事)。

PrintNightmare は Print Spooler サービスが特権のあるファイル操作を適切に処理しないことが原因で、リモートから SYSTEM の権限で任意コード実行が可能になるというもの。発見した中国・Sangfor Technologies のセキュリティ研究者は 8 月の Black Hat 2021 USA での発表を予定している。しかし、6月の月例更新で修正された Print Spooler サービスのリモートコード実行脆弱性 (CVE-2021-1675) をこの脆弱性と取り違え、修正済みだと思ってPoCを公開してしまったのだという。研究者は間違いに気付いて PoC を削除したものの、既にアクティブな攻撃が行われているようだ。

影響を受けるのは現在サポートされるすべての Windows バージョンで、Windows 7 SP1 / Server 2008 / 2008 R2 も含まれる。現時点で更新プログラムの提供時期は示されておらず、回避策として Print Spooler サービスの停止および無効化(対策1)と、グループポリシー(コンピューターの構成 → 管理用テンプレート → プリンター)の「印刷スプーラーにクライアント接続の受け入れを許可する」を無効に設定(対策2)の2つの方法が示されている。なお、対策1を適用するとローカル・リモートともに印刷ができなくなる。一方、対策2を適用したシステムはプリントサーバーとしては動作しなくなるが、ローカルでの印刷は可能だ。

サードパーティパッチを提供する 0patch は特に影響が大きい Windows Server 2008 R2 / 2012 / 2016 / 2019 向けマイクロパッチの提供を開始している。0patch によれば Windows 10 への攻撃はドメイン環境で成功せず、非ドメイン環境ではローカルユーザーの認証情報が必要だったという。Windows 7 には影響しないように見えるが、さらなるテストが必要とのこと。2020 年 1 月の更新を適用した Windows Server 2008 R2 も影響を受けるとのことで、脆弱性は少なくとも 1 年半以上前から存在したようだ(0patch Blog の記事)。

すべて読む | ハードウェアセクション | セキュリティ | ソフトウェア | プリンター | バグ | 変なモノ | Windows |

関連ストーリー：
Google、連続殺人犯に関するナレッジパネルに同姓同名の別人の写真を掲載 2021年06月26日
Google Chrome、アドレスボックスにドメイン名のみを表示する計画を取りやめ 2021年06月12日
Microsoft、特定のプリンター使用時にブルースクリーンが出る問題に対処。更新プログラム提供へ 2021年03月18日
Windows 10の月例パッチに問題、特定のプリンター使用時にブルースクリーンが発生 2021年03月15日
GoogleのProject Zero、6月の更新プログラムで完全に修正されていなかったWindows 10の脆弱性を公表 2020年12月27日
GoogleのProject Zero、Windowsカーネルのゼロデイ脆弱性を公表 2020年11月01日
オーストラリア・メルボルン市政府、駐車料金支払いアプリで「0」と「O」を取り違えて入力して駐車違反となったケースで反則金を返金へ 2020年09月18日
Windows 10 Insider Preview、初の20H2ビルドが登場 2020年06月20日
Windowsで印刷不能になる不具合、これを修正する更新プログラムがリリースされる 2020年06月19日
勾配降下法を使用する機械学習モデルに、誤った識別をさせるような入力を作成することが可能な問題 2020年03月31日
Microsoft、Internet Explorerのゼロデイ脆弱性を公表 2020年01月19日
カメラやセンサーを騙すことでTeslaのAutopilotを混乱させる攻撃 2019年04月05日
Google、Chromeのゼロデイ脆弱性と組み合わせて攻撃に使われていたWindowsのゼロデイ脆弱性を公表 2019年03月10日
Microsoft Edgeで特定のPDFファイルを印刷すると一部違う内容が出力される問題が見つかる 2017年05月06日
Googleの有害コメント判定ツールを混乱させる方法 2017年03月05日
Windowsをクラッシュさせるゼロデイ・エクスプロイトコードがGitHubで公開 2017年02月10日

ITmediaで行われている大原雄介氏のPCの歴史をたどる記事において、USB誕生のきっかけとなった逸話が掲載されていた。この記事によると、USBが生まれるきっかけは、Intelのアジャイ・バット氏が、奥さんのPCにプリンタをつなぐ作業があまりに手間だったことから、キレたことがきっかけだったという。同氏はUSBに先行して開発が進んでいたPCIの経験をフィードバックしたとしている（ITmedia）。

すべて読む | ハードウェアセクション | ハードウェア | プリンター |

関連ストーリー：
USBメモリの販売預託商法が社名を変えて再開か。消費者庁が警告 2021年06月09日
USB Type-C規格が更新。USB PDに48V・5Aで240W流せるEPRモード追加へ 2021年05月28日
USB 3.0機器はゆっくり差すと2.0、素早く差すと3.0として認識されるのは仕様 2021年05月13日
秋葉原最終処分場。のHDD破壊サービス、SSDやUSBメモリに正式対応 2021年04月16日
フェンダー、BluetoothやUSB Type-C接続にも対応するギター用ヘッドフォンアンプ「Mustang Micro」を発表 2021年04月10日

毎日新聞によれば、ある事件の裁判で弁護側が検察側の証拠の開示方法についての変更を求めているそうだ（毎日新聞）。

弁護側の求めている資料の量が膨大であること、業者を通じてコピーするためモノクロで1枚30～40円ほど掛かるという。このため資料のコピー代だけでも数百万円に上る可能性があることから、PDFなど電子データでの開示などを求めたが検察側から拒否されたそう。

弁護側はスキャナーを地検に持ち込み、スキャンさせてほしいと要求したが、検察側からの回答はホチキスを外さなければならず、紛失のおそれがあるため理由から拒否。ホチキスを外さずに使えるスキャナーの使用も提案したところ、電気代が計算できないとして否定されたそうだ。

逮捕状など請求など刑事手続のオンライン化は議論されているものの、証拠の開示方法のデジタル化までは議論されているかは不明。

すべて読む | ハードウェアセクション | ハードウェア | プリンター |

関連ストーリー：
2021年10月10日・11日はデジタルの日 2020年12月28日
デジタル庁創設に向け政府がIT人材などを募集。兼業も可 2020年12月22日
政府が各省庁のウェブサイトを一元化することを検討中。デジタル庁で統合 2020年12月21日
ひと月前にサイバー攻撃を受けた原子力規制委員会、いまだに電話かFAXでしか連絡取れず 2020年11月27日
河野大臣、書類の枠と文字の間隔がキッチリ5mmの位置にあるか測っていた「青枠」の慣行廃止へ 2020年10月19日
シャチハタが「おじぎ印」文化に対応した電子印鑑をリリース予定。ハンコ廃止時代に備え 2020年10月05日
「ト」や「ロ」は漢字かカタカナか。政府が省庁でバラバラなデータ表記を統一化へ 2020年09月17日
菅官房長官、行政のデジタル化を推進するデジタル庁の創設を検討中 2020年09月07日
三菱UFJ銀行、3億枚以上の書類を電子化へ。AIとロボット活用でホチキス外しも自動化 2020年07月28日
刑事手続のオンライン化計画が進行中 2020年07月22日
「日本は仕事のデジタル化が遅れている」マイクロソフト・ヒューストン社長 2006年10月19日