J-CASTニュースの記事によると、北海道大のキャンパス内の新築トイレが設計上の不手際により、通路から内部が見えてしまう構造になってしまったそうだ。このトイレは4日ごろから利用開始されたものの、通路から男子用便器が丸見えであることが判明。また併設された女子トイレでも、手洗い場の鏡から内部が丸見えになる問題が指摘されたとのこと。北大施設整備課は「このままというわけにはいかない」として、再工事を含めた本格的な対処も検討しているとのこと（J-CASTニュース）。

すべて読む | ITセクション | バグ | 教育 |

関連ストーリー：
トイレの個室に使用時間と空室率を表示することで混雑解消に効果 2021年09月03日
女性個室トイレに動画広告を配信することでナプキンを無償配布するサービス 2021年07月06日
米国製トイレットペーパー、在日米軍基地のトイレを詰まらせる 2021年04月19日
アルコール消毒のしすぎで幼稚園の樹脂製ドアノブが破損。国民生活センターが注意呼びかけ 2021年04月13日
トイレのスマホ置き忘れを防ぐ画期的なドアロック機構 2021年03月24日
国土交通省、不適切な利用が相次ぐ多目的トイレの名称変更を求める 2021年02月11日
男女マークが描かれた女子トイレを誤って利用した男性に無罪判決 2021年01月24日

影響範囲はそれほど広くないようだが、iPad mini 6で液晶画面の一定範囲を軽く押すと表示が変色して歪む問題が報告されている (Reddit のスレッド、 9to5Mac の記事、 Mac Rumors の記事、 動画)。

(特に非タッチの) 液晶画面を強く押すと、その部分の液晶が偏って波紋のような変色や歪がみられることもある。しかし、報告されているのは押した場所とは関係なく、画面上の特定の個所で発生するものだ。

具体的には iPad mini 6 の電源ボタン側が上になるよう縦置きにした状態で、上端から 1 ～ 2 cm 下の 3 点 (写真) で発生する。Reddit で問題を報告したユーザーは、問題の発生する個体ではディスプレイモジュール裏側の部品の突起とのクリアランスが十分でなく、画面を軽く押すだけで突起がディスプレイモジュールに当たる可能性を指摘している。

Genius スタッフは報告者の iPad で問題を確認して交換品を注文したが、報告者は届いた交換品よりも元の個体の方がましだったため交換をやめたという。その後 Genius スタッフは店内の展示品をすべて調べ、同様の問題が発生することが確認されたことから、リコールが行われる可能性を示唆したそうだ。ただし、問題を再現できた Reddit ユーザーは少なく、Mac Rumors でも再現できなかったとのこと。

報告者は問題を確認しやすくするため、ダークモードに設定して「メモ」アプリで新規メモを表示した状態で試すことを推奨している。jelly scrolling 問題のストーリーでは iPad mini 6 をお持ちの方から詳しい実験リポートをいただいたが、こちらの問題は発生するだろうか。

すべて読む | アップルセクション | ハードウェア | バグ | アップル | モニター |

関連ストーリー：
iPad mini 6 の jelly scrolling、原因は？ 2021年10月02日

Twitterの投稿によると、povo2.0の申込み時に「佐々木」さんのように名前に「々」が入っている場合、一時できない状況になっていたようだ。似たような事例は過去にゆうちょ銀行の「ゆうちょペイ」の時にも発生していた。ゆうちょの時には「々」を「ひらがな、カタカナ、漢字、アルファベット」として認識していなかったことからトラブルが起きていたとみられており、同じことが起きていたと想像される。問題の発見者のgakuさんが、povoのチャットサポートに問い合わせたところ、即日対応が図られたとしている。実際に申し込みもできており、目的のSIMカードも無事に届いたようだ（gakuさんのツイート）。

すべて読む | ITセクション | バグ | IT |

関連ストーリー：
KDDI新プラン『povo 2.0』、高速データ通信もトッピング。最大180日間0円運用可能 2021年09月14日
納税額決定通知書のグリフ違いによるトラブル。千葉市 2021年05月25日
全国で唯一戸籍の電子化がされていなかった御蔵島村が電子化。全国1896市区町村のデジタル戸籍化が完了へ 2020年10月03日
Microsoft、Shift_JISや外字からUnicodeへの移行を呼びかけ 2020年03月06日
メガソフト、iOS向けテキストエディタをリリース 2019年05月31日
ゆうちょPayアプリで「々」が含まれる氏名の登録が行えない不具合 2019年05月10日
新元号は「令和」に、施行は5月1日 2019年04月01日
世界のWebサイトで文字コードがUTF-8のページが90%を超える 2017年10月18日

Apple が先日公開した iTunes for Windows 12.12.0.6 で、環境によって起動しない問題が発生していたそうだ (Neowin の記事)。

発生していた問題は必要なファイルが見つからないため iTunes を実行できないとして、再インストールを求められるというもの。ただし、再インストールしても効果はなかったようだ。問題は Microsoft Store 版・Win32 版ともに発生していたという。

あるユーザーの調べによると、エラーは Windows の表示言語が米国 - 英語 (en-us) 以外の環境で発生するそうだ。当初は英語以外の言語(ドイツ語・イタリア語・韓国語・スペイン語・フランス語・中国語・日本語)でのエラー発生が確認されていたが、その後英国 - 英語 (en-gb) など米国以外の英語でも発生することが確認されたとのこと。

Apple は原因等について説明していないが、現在 AppleのWeb サイトでダウンロード可能なインストーラーはバージョン 12.11.4.15 になっており、Microsoft Store では公開停止となっている。

すべて読む | ITセクション | バグ | idle | アップル | Windows | 音楽 |

関連ストーリー：
Apple、iTunesに代わるWindows向けメディアアプリの開発を計画か 2019年11月23日
Windows版の「Apple Software Update」ツールに脆弱性 2019年10月16日
AppleがWWDCでiTunesアプリ廃止を発表するとの報道 2019年06月02日
iTunes、ついにMicrosoft Storeで提供開始 2018年04月29日
iTunes、年内のMicrosoft Storeでの提供は無理 2017年12月17日
Apple、iOSアプリ管理機能を維持したバージョンのiTunesを静かにリリースしていた 2017年10月12日
Apple、iOSやmacOSなどの脆弱性を多数修正 2017年07月22日

LINEは10日、QRコードログインにおける2要素認証に脆弱性が存在しており、それにより不正ログインが発生していたと発表した。脆弱性に関してはすでに修正済みとのこと。QRコードを用いたログイン時に、PINコードを用いた2要素認証に脆弱性が存在したという。脆弱性により、本来実行されるべきPINコード確認の処理が省略され、不正ログインが行われる状況にあったとしている（LINEリリース、窓の杜）。

不正ログインの手法に関しては、LINEのリリースに詳しいのでそちらを見ていただきたい。発表によると被害ユーザー数は556件で、日本ユーザーの被害は確認されていないという。詳細に関してはタイで11、インドネシアで466、その他で79だったとのこと。影響期間は2019年11月25日〜2021年7月9日だったとしている。

goldenslamber 曰く、

なおLINEからの声明は以下の通り。
「本件の攻撃内容を踏まえ、フィッシングおよびソーシャルハッキングなどの悪用による非技術的な残存リスクの確認をより一層強化する」

非技術的な残存リスクとは何を指すのだろう。

すべて読む | セキュリティセクション | セキュリティ | バグ | 携帯通信 |

関連ストーリー：
省令改正でLINEを使った住民票の写しの交付申請を不可に、渋谷区は反発 2021年09月16日
東京都、コロナ自宅療養者への医師の派遣調整にLINEを使う仕組み作りへ 2021年09月08日
LINEで台湾要人約100人の個人情報がハッキングにより流出、国内では握手会動画が中国に流出 2021年07月30日
LINE、トークやKeep関連のデータ移転に2024年までかかる見込みと発表 2021年06月15日
ドコモ、フィッシング詐欺対策として「ドコモメール公式アカウント」提供へ 2021年05月27日
政府、LINE等のサービスで機密情報の取り扱いを決めるガイドライン策定 2021年05月07日
LINEのトークなどを含む個人情報、中国の委託先技術者が閲覧できる状況に 2021年03月17日

スマホダイジェストの記事によると、Pixel 5aのユーザーの間で、家庭用機器のリモコンと干渉問題が発生しているという話が出ているようだ。Pixel 5aが近くにあると家電リモコンの操作ができない場合があるとされ、Pixel 5aの近接センサーと干渉しているのではないかとする指摘が出ている。Twitterなどでは2.5GHzおよび5GHz周波数帯を使っているリモコンだと干渉するという見方もあるが真偽については分かっていない（スマホダイジェスト）。

単に周波数だけであれば、ほかのスマートフォンでも同様のトラブルが起きる可能性はあるが、トラブル報告の大半はPixel 5aとPixel 3aのユーザーからのものだという。対策としては端末のディスプレイ面を下向きにしておくか、置く場所を変える、近接センサーを遮るものを置くといった消極的な対処方法しかない模様。

すべて読む | ITセクション | モバイル | バグ | 携帯電話 |

関連ストーリー：
スカパー!、50チャンネルが1ボタンで選局できるリモコンをプレゼント 2021年09月07日
動画配信サービスによるTVリモコンの場所取り戦争 2021年05月20日
テレビリモコンと乾電池型IoTデバイスを組み合わせて視聴情報を取得する実証実験 2021年02月26日
今どきのテレビは主電源を頻繁に操作すると電源基盤がすぐに故障する 2020年12月24日
AWS障害でスマートリモコンが動作不能に 電気が消せず眠れない夜を過ごす人々 2020年11月26日
約800万円で身長が15cm伸びる手術。リモコン操作で毎日1mm伸ばす 2020年10月09日

headless 曰く、

昨年 6 月 14 日に上海発台北行きチャイナエアライン 202 便のエアバス A330 型機で発生したインシデントについて、台湾国家運輸安全調査委員会 (TTSB) が最終報告書を公開している (ニュースリリース、 報告書: PDF、 The Register の記事、 The Aviation Herald の記事)。

このインシデントでは A330 が台北松山空港の滑走路に接地した直後、3 台のフライトコントロールプライマリコンピューター (FCPC) がほぼ同時に停止している。これによりグラウンドスポイラーや逆推力装置、オートブレーキがすべて使用できなくなった。問題を認識した機長がマニュアルブレーキを適用。3 秒後には副機長にもマニュアルブレーキを要請して 2 人でブレーキペダルをフルに踏み込み、機体は滑走路終端の 30 フィート手前で停止したとのこと。

FCPC が 3 台ほぼ同時に停止した理由として、TTSB ではコマンド / モニター系統の非同期性が非常に大きくなったことを挙げている。接地時には機体の水平制御が飛行用から地上用に切り替わって非同期性が大きくなるが、これにパイロットのペダル操作が加わって 2 系統の差が閾値を超えてしまったと考えられるという。その結果、FCPC1 が最初に停止し、制御の移動した FCPC2 と FCPC3 も次々に停止したとみられる。エアバスではこの問題に対処するソフトウェア改善を行っている。

すべて読む | セキュリティセクション | セキュリティ | ソフトウェア | バグ | 交通 |

関連ストーリー：
北米でリコール対象となった20ブランドの除湿器、すべて同じメーカー製 2021年08月10日
エチオピア航空のパイロット、目的地と間違えて開港前の新空港に着陸 2021年04月07日
米大統領専用機を運用する空軍基地、マウス耳の帽子をかぶった男性が5時間にわたってうろつく 2021年03月14日
Tesla、Tesla車で意図しない急加速が発生したという調査請求は虚偽だと反論 2020年01月24日
ボーイング737 NGで特定の滑走路へ計器進入する際にのみ発生する問題が確認される 2020年01月11日
航空機の操縦士、体調不良の原因は？ 2016年03月02日

香港で16日、大量の塩をまいて複数のカタツムリを殺したとして26歳の大学院生が逮捕されたそうだ。香港警察の動物虐待専門のチームが捜査にあたったとのこと。テレ朝NEWSによると香港警察は動物虐待に厳しいらしい。有罪判決を受けた場合、最長で3年の懲役刑が科せられるらしい（テレ朝NEWS）。

すべて読む | ITセクション | 犯罪 | バグ | IT |

関連ストーリー：
YouTube、ロボットバトル動画を動物虐待として非公開に 2019年08月22日
改正動物愛護法が成立、犬猫へのマイクロチップ埋め込みが義務化 2019年06月13日
ジュリアン・アサンジ氏逮捕、大使館で飼われていた猫の行方は？ 2019年04月14日
英国の新5ポンド紙幣に微量の獣脂が含まれることが判明し、反対運動が起こる 2016年12月04日
動物愛護団体PETA、ポケモンGOに便乗してポケモンを捕まえる人間を倒すゲームを公開 2016年07月26日
意見募集：インターネット上の違法な情報への対応に関するガイドライン 2008年10月26日

headless 曰く、

台湾・New Widetech (NWT、鉅潞科技) は 4 日、北米で同社製除湿器のリコールを発表した(ニュースリリース、 リコール特設サイト、 米消費者製品安全委員会のリコール情報、 SlashGear の記事)。

リコール理由は過熱により発火の可能性があるというものだ。リコール対象製品によるインシデントが既に 107 件報告されており、およそ 1,700 万ドルの被害が出ている。人的被害は報告されていないとのこと。100 機種以上にわたるリコール対象製品はすべて他社の 20 ブランドで 2009 年から 2017 年に販売されたものだが、リコールは NWT が実施する。所有者はすぐに使用をやめて返金を請求するよう求められており、利用期間に応じた割合で返金額が計算される。対象製品は米国でおよそ 200 万台、カナダで 38 万台、メキシコで 25,000 台が販売されたとのことだ。

すべて読む | ハードウェアセクション | ハードウェア | バグ |

関連ストーリー：
周知も修理キット提供もなかなか進まない米国での Philips の人工呼吸器リコール 2021年08月09日
Facebook、皮膚炎発生を受けて Oculus Quest 2 の接顔パーツを米国とカナダでリコール 2021年08月01日
リコール修理後にもバッテリー発火の可能性がある Chevrolet Bolt EV 、新たなリコールが発表される 2021年07月25日
ファイザー、禁煙補助剤 CHANTIX の一部ロットを米国でリコール 2021年07月24日
米消費者製品安全委員会、Fulfilled by Amazon プログラムを通じて販売された危険な製品のリコールを Amazon に要求 2021年07月19日

headless 曰く、

北米では主要な病院の 80 % が使用しているという Swisslog Healthcare の気送管システム TransLogic Pneumatic Tube System (PTS) で見つかった一連の脆弱性「PwnedPiper」について、発見者の Armis が解説している(Armis のリポート、 Swisslog Healthcare のアドバイザリー、 The Register の記事、 Softpedia の記事)。

日本ではエアシュートなどとも呼ばれる気送管システムは、空気圧をかけたパイプのネットワークで物品を格納したパケットを送る仕組み。かつては人力によるルーティングが行われていたが、現代的なシステムは IP ネットワークに接続され、コンピューターにより制御が行われる。

TransLogic PTS の脆弱性は制御用の Linux デバイス Nexus Control Panel に存在し、検証なしのファームウェア更新 (CVE-2021-37160) や、リモートからのコード実行または DoS が可能となるメモリ破損の脆弱性 (CVE-2021-37161 / 37162 / 37164 / 37165 / 37166)、ハードコードされた Telnet パスワード (CVE-2021-37163)、特権昇格の脆弱性 (CVE-2021-37167) といったもの。Armis は 9 件の脆弱性と述べているが、CVE-ID が割り当てられた脆弱性は 8 件となっている。全ての脆弱性は認証されていないネットワークパケットを送るだけで引き起こすことが可能で、ユーザーの操作は必要ないとのこと。

これらの脆弱性を悪用することで、攻撃者は送り先の変更や速度の変更といった攻撃が可能だ。血液製剤など低速で送るべき物品を高速で送ってしまうと、患者に被害が及ぶ可能性もある。また、PTSのユーザー認証システム WhoTube に登録されたスタッフの認証情報取得や病院のコミュニケーションソリューションに統合された PTS のアラートシステム悪用による業務妨害、ランサムウェア攻撃なども可能になる。

脆弱性のほとんどはファームウェアバージョン 7.2.5.7 で修正されているが、CVE-2021-37160 だけは修正されていないという。Armis ではパッチの適用のほか、Telnet のブロックや ACL のデプロイ、Snort による攻撃検知といった対策を推奨している。

すべて読む | セキュリティセクション | セキュリティ | バグ | 医療 | 交通 |

関連ストーリー：
ランサムウェア攻撃の結果として初の死者、ドイツ・ケルンの検察が過失致死容疑で捜査 2020年09月20日
医療用のスマート輸液システム、LAN内から不正なファームウェアに書き換え可能な脆弱性 2019年06月21日
植込み型除細動器などの通信プロトコルに患者を攻撃可能な脆弱性 2019年03月23日
脳波検査システムのソフトウェアに脆弱性 2018年04月08日
Windows XP等で動いている医薬品の自動分配システムに大量の脆弱性 2016年04月05日
東大病院で大規模なワーム感染 2009年03月06日

IIJは16日、7月15日から同社が提供している「IIJmioモバイルサービス ギガプラン」用の専用アプリ「My IIJmio」において、利用者とは別のユーザー情報が表示される不具合があったと発表した。この影響により「My IIJmio」の提供は15日18時55分に一時停止されている。影響が確認されているのは254名分。誤表示された情報は以下の通りとなっている（IIJリリース、ケータイ Watch）。

• 電話番号の一部 (4桁目から7桁目までがマスクされた状態)
• データ残量
• データ残量有効期限
• データ利用量
• ご請求金額
• 高速通信ON/OFFの状態
• 5Gオプション
• データシェアの設定状態
• ご契約情報 (mioID、サービスコード、サービス状態、料金プラン、申し込み日、利用開始日)

すべて読む | ITセクション | バグ | IT | 携帯通信 | プライバシ |

関連ストーリー：
注文履歴などの誤表示でAmazon.co.jpに行政指導、被害件数は11万件 2019年10月16日
世田谷区の通知書類で「平成3元年」との誤表示、和暦の一の位が「1」だった場合「元」に変換する処理だった 2019年04月16日
Googleの通貨換算機能、ガーナセディの価値を実勢の4分の1程度と表示するトラブル 2019年03月24日
NTTドコモ、翌月進呈ポイントが99億に誤表示される場合があると事前アナウンス 2018年05月25日
過去5年間で日本の上場企業から流出した個人情報は単純計算で7545万件 2017年04月14日

headless 曰く、

米昆虫学会 (ESA) は7日、「ジプシー (gypsy)」という単語を含む昆虫2種の一般名を昆虫および関連生物の一般名リストから削除したことを発表した(ESA のニュース記事、 Mashable の記事)。

削除された一般名はドクガ科のマイマイガ Lymantria dispar の「gypsy moth」と、アシナガアリ属のアリ Aphaenogaster araneoides の「gypsy ant」。ESA 理事会では3月に許容可能な昆虫の一般名に関する新しいポリシーを承認しており、民族や人種のグループを示す名前や恐怖を掻き立てるような名前が禁じられている。また、特に侵略的外来種について地理的な場所を示す名前の使用を非推奨としている。

一般名は専門家と一般人とのコミュニケーションを容易にするためのものだが、特定のグループを歓迎しないような一般名の使用はその目的に反する結果を生む。今回の変更は不適切であったり不快感を与えたりする昆虫の一般名を見直して置き換える新プログラムの開始と相前後して決定したもので、ロマの人々に対する侮蔑的な呼称「ジプシー」が不適切と判断された。

新プログラムは民族や人種に対する否定的なステレオタイプを持続させるような昆虫の一般名を特定し、代替の一般名を提案するもので、昆虫学者だけでなく関連する分野の科学者や一般の人々にも参加が呼び掛けられている。L. dispar に関しては、コミュニティグループを招集して新しい一般名の提案を要請する計画だという。A. araneoides の新しい一般名については言及されていない。

すべて読む | サイエンスセクション | バグ | サイエンス |

関連ストーリー：
中国のSNSで「株式市場」という単語が禁止された可能性 2021年03月11日
AI翻訳業のロゼッタ、全社員に「英語禁止令」発令。英語は本業の能力とは何の関係もない 2021年03月05日
FANZAでの禁止表現、犬とのカラミはNGだが蛇ならOK 2020年12月03日
Apple、包括的用語使用の義務付けを含むスタイルガイド更新 2020年07月19日
絵本における著作権侵害問題、著作権的にNGな「絵本の読み聞かせ動画」や個人製作グッズの販売などが多く確認される 2020年04月17日
劇場版「メイドインアビス」、レーティングが急遽R15+になり前売り券購入者のうち対象者は払戻しに 2019年12月31日
海外では技術系の単語を子供の名前に使う親が登場している 2018年12月26日
米ミズーリ州、肉代用食品を「meat」として販売することを禁ずる法律 2018年09月01日

カスペルスキー製パスワードマネージャー「Kaspersky Password Manager（KPM）」に脆弱性が見つかり、新たにCVE-ID（CVE-2020-27020）が割り当てられた。生成されるパスワードに偏りが生じているという。カスペルスキーは脆弱性の報告を受けて、すでに対策を取ったバージョンを配布している。影響を受けるのはのWindows版では9.0.2パッチF以前のバージョン、Android用ではバージョン9.2.14.872以前、iOS用では9.2.14.31以前のものだとしている（Kaspersky、Donjon、The Register、窓の杜 ）。

発見者であるLedger社のセキュリティチーム「Ledger Donjon」によれば、KPMのパスワードジェネレーターには時刻をキーに用いるロジックに欠陥があり、生成する数値に偏りが生じていた。攻撃者はパスワード生成時期を知ることができれば、総当たり攻撃により数分で解析できるとしている。同社では最新版への更新を行うと同時にランダムパスワードを再生成するよう呼び掛けている。

すべて読む | セキュリティセクション | セキュリティ | バグ |

関連ストーリー：
Microsoft、Windows のゼロデイ脆弱性「PrintNightmare」を修正する更新プログラムを緊急リリース 2021年07月10日
Windows 11のCPU要件設定はSpectreやMeltdown対策をOS側でしたくないから？ 2021年07月08日
iPhone の Wi-Fi を無効化する SSID のバグ、影響範囲が広がる 2021年07月08日
Windows の Print Spooler で見つかった脆弱性、研究者の勘違いでゼロデイに 2021年07月04日
リモートからファクトリーリセット攻撃にあった Western Digital の古い NAS、新しい脆弱性が見つかる 2021年07月02日
Dell の BIOS に脆弱性、129機種が影響を受ける 2021年06月26日

プレスリリース・ニュースリリース配信サービスの PR TIMES は 9 日、会員企業が下書き保存登録していた発表前のプレスリリース情報が不正に取得されていたことを発表した(プレスリリース: PDF)。

原因は画像一括ダウンロード機能と PDF ダウンロード機能のセキュリティホールで、プレスリリースの公開状態にかかわらず URL ロジックを推測および解析することでダウンロードが可能になっていたという。7 月 5 日に会員企業から発表前の情報が SNS 投稿されているとの報告を受けて調査を行い、6 日には公開状態でない場合に画像一括ダウンロードができないよう緊急改修が行われている。PDF ダウンロード機能のバグは8日に判明し、URL を予測困難なロジックへ変更する緊急改修を実施したとのこと。

不正に取得されたプレスリリース情報は会員企業 13 社 14 アカウントのプレスリリース 230 件に紐づく画像の ZIP ファイル 230 点と、うち 4 社のプレスリリース 28 件に紐づく PDF ファイル 28 点。「不正取得」は 5 月 4 日 ～ 7 月 6 日に特定の IP アドレスから行われており、プロバイダーにも申告したという。

このような形で情報が取得されることはシステム開発段階では想定していなかったとのことで、今後は人員を増強してセキュリティホールの存在を迅速に発見できる体制へと強化するそうだ。なお、緊急改修は暫定的なものであり、今後はセキュリティを強化しつつ利便性を高める機能に刷新するとのことだ。

すべて読む | ITセクション | セキュリティ | ニュース | バグ | 広告 |

関連ストーリー：
Instagramで非公開設定で投稿した写真や動画はURLを直接開けば誰もが閲覧できる 2019年09月13日
ゲイ向け出会い系アプリ「Jack'd」で非公開設定でアップした写真に不特定多数がアクセスできる不具合が見つかる 2019年02月14日
スマホ監視アプリSpyFoneで取得されたデータ、ネットで誰もがアクセスできる状態になっていた 2018年08月29日
プライベートな投稿が全員に公開される可能性のあるFacebookのバグ、1,400万人に影響 2018年06月10日
SCEJ がトルネの視聴ジャンル無断公開に「真摯にお詫び」 2011年11月18日
トルネを含むPS3ゲーム/アプリのトロフィー情報は一般公開されている 2011年11月09日
Googleドキュメントに新たなセキュリティ・ホール 2009年03月28日
Google Docsで非公開の文書が公開されてしまうトラブル発生 2009年03月09日
公開URLの掲載をハックと見なされる 2008年03月11日
ミクシィ、画像に認可制御なしの欠陥を改修できず、ヘルプで弁解 2006年10月18日
ロイターがURL推測で不正アクセスとして告訴される 2002年10月29日

Dell は24日、BIOS 搭載の機能で発見された4件の脆弱性と影響を受ける129機種のリストを公表した(DSA-2021-106、 Eclypsium のブログ記事、 Phoronix の記事、 BetaNews の記事)。

CVE-2021-21571 は Dell の BIOSConnect 機能と HTTPS Boot 機能が利用する UEFI BIOS の HTTPS スタックに存在する不適切な証明書検証の脆弱性だ。リモートの認証されていない攻撃者が中間者攻撃を利用して脆弱性を悪用することで、サービス拒否およびペイロードのタンパリングにつながる可能性がある。

CVE-2021-21572 / CVE-2021-21573 / CVE-2021-21574 は BIOSConnect 機能に存在するバッファーオーバーフローの脆弱性だ。ローカルでシステムにアクセス可能な認証されたユーザーがこの脆弱性を悪用することで、UEFI による制限を迂回して任意コードの実行が可能になる。

BIOSConnect は SupportAssist OS Recovery 機能を利用して BIOS 更新と OS の復旧を行う機能で、影響を受けるのは BIOSConnect 搭載機種の一部だという。HTTPS Boot は UEFI の HTTP Boot を利用してシステムを HTTP(S) サーバーからリモートブートする機能で、搭載機種は少ない。影響を受ける129機種のうち、HTTPS Boot を搭載しているのは46機種となっている。

いずれの脆弱性を悪用する場合も攻撃者は事前にユーザーのネットワークへ侵入し、Dell UEFI BIOS が信頼する証明書を取得するなどの準備が必要となり、システムに物理的アクセス可能なユーザーが各機能を使用するのを待つ必要があるとのこと。

CVE-2021-21573/CVE-2021-21574に関しては5月28日にサーバー側で修正が行われており、ユーザーが必要な操作はない。CVE-2021-21571/CVE-2021-21572に関しては BIOS 更新が必要となる。6月24日までに影響を受ける129機種すべてに対策版の BIOS 更新が提供されている。

Dellのプリインストールソフトウェアやファームウェア更新プログラムではたびたび脆弱性が発見されているが、今回の脆弱性の影響を受けるのはWindowsに限らない。特にセキュアブートを無効化している場合は影響が大きくなるとのことだ。

すべて読む | セキュリティセクション | ハードウェア | アップグレード | セキュリティ | ソフトウェア | バグ | インターネット |

関連ストーリー：
Dellのファームウェア更新プログラムに同梱されていたドライバーに脆弱性、500以上のモデルに影響 2021年05月07日
Dell SupportAssistでまた脆弱性が見つかる 2019年06月23日
HP製ノートPCにプリインストールされているドライバの1つにキーロガー的機能が見つかる 2017年12月12日
AcerやASUS、Dell、HP、LenovoのPCにプリインストールされているソフトウェアに脆弱性が見つかる 2016年06月09日
Dellや東芝、LenovoのPCなどにプリインストールされている管理ソフトに脆弱性が見つかる 2015年12月16日
MS、証明書信頼リストを更新してDellのPCにプリインストールされていた危険な証明書を無効化 2015年12月04日

米食品医薬品局(FDA)が甲殻類アレルギーの人に対し、セミを食べないよう注意喚起している(FDAのツイート、 The Washington Postの記事、 NBC Newsの記事、 The Vergeの記事)。

米国東部では今年が17年周期で大量発生する周期ゼミ Brood Xの発生年となっており、セミを使った料理が注目されている。甲殻類に似た味と表現されることも多い昆虫だが、アレルゲンとしても甲殻類に近いようだ。国連食糧農業機関(FAO)では食料としての昆虫を食品安全性の観点でまとめた報告書(PDF)の中で、昆虫と甲殻類がともに節足動物であることから、昆虫の摂取によるアレルギーの発生リスクについてさらなる研究が必要だとしている。甲殻類アレルギーの人はアレルゲンの交差反応性により、昆虫を食べることでもアレルギー反応が出やすいとのこと。

個人的には甲殻類アレルギーの友人がおり、エビを食べて顔がパンパンに腫れたところを見たこともある。この友人はバッタの素揚げが好きで、食べても平気なようだが、人によってはアレルギー反応が起きる可能性もあるので注意すべきだろう。

すべて読む | ITセクション | バグ | 医療 | idle | アメリカ合衆国 | ワーム |

関連ストーリー：
アメリカで「17年ゼミ」の大規模グループが目覚める。数十億匹から数兆匹が発生へ 2021年05月19日
杉並区立公園でセミを食用目的で大量捕獲しないよう看板が掲示される 2020年09月03日
上野アメ横に昆虫食自販機登場 2020年03月20日
タガメ、希少動物として規制対象に 2020年01月22日
無印良品、コオロギせんべいを開発中 2019年11月25日
コオロギ50匹分の粉末が入ったプロテインバー 2019年03月07日
コオロギを食べると腸内環境が改善したとの研究結果 2018年08月05日
昆虫や微細藻類を使用した「未来のファーストフード」 2018年03月24日
人工培養肉、昆虫、海藻、「明日のミートボール」とは 2015年12月13日

今年はアメリカで17年に一度、地上に姿を見せるとされる「17年ゼミ」の目撃が相次いでいるそうだ。Wikipediaによると、周期ゼミや周期年数が素数であることから素数ゼミとも呼ばれているとのこと。その17年ゼミには年次集団ごとに番号が割り当てられており、2021年は最も数の多い「BroodX」と呼ばれるグループが活動するタイミングだそうだ。その数は「数十億匹」から「数兆匹」にも及ぶとのこと（毎日新聞、秒刊SUNDAY、TimeOut）。

活動時の騒音は110デシベルにも達し、「車のクラクション」と同じくらいの音が鳴り続けるレベルらしい。大西洋に面した中部諸州や中西部などで大量発生するとされ、地面の温度が約18度になると活動を始めるという。すでに南部地域では鳴き声が確認されているとのこと。

nemui4 曰く、

住民にとってはサイアクらしい

情報元へのリンク

すべて読む | ITセクション | バグ | 変なモノ | IT |

関連ストーリー：
非対称な網を張るアメリカジョロウグモ、微小重力下では光の有無で非対称性が変化 2020年12月13日
カイコは｢二段階認証｣を用いて食べられるクワの葉を見分けていた 2020年12月08日
和風アクションRPG内の古代稲作の再現度が高すぎて話題。リアル農家は精米機に感謝するレベルらしい 2020年11月18日
日本で発見された新種の寄生バチ、ゴジラと名付けられる 2020年11月08日
メキシコで発見された新種のハチ、COVID-19にちなんだ学名が付けられる 2020年10月14日