VMwareは3月31日にJavaアプリケーションフレームワーク「Spring Framework」に脆弱性「CVE-2022-22965」が存在すると発表した。悪用された場合、第三者によるリモートコードが実行される可能性がある。これらは通称「Spring4Shell」または「SpringShell」と呼ばれているという。脆弱性の深刻度は「Critical」。共通脆弱性評価システムCVSS v3のスコアは「9.8」（VMware、JPCERT/CC、INTERNET Watch、Security NEXT）。

脆弱性の対象となる Spring Framework のバージョンはSpring Framework versions 5.3.0から5.3.17、同じく5.2.0から5.2.19となっている。また攻撃を成功させるためには、JDK 9以上を使用している、pache Tomcatをサーブレットコンテナとして使用している、WAR形式でデプロイされている、プログラムがspring-webmvcあるいはspring-webfluxに依存しているなどの条件が揃う必要があるという。VMwareでは脆弱性に対処した「Spring Framework 5.3.18」「同5.2.20」を公開した。JPCERT/CCは、十分なテストを実施の上で適用するよう促している。

またこの直前となる29日にSpring Cloud Functionのバージョン3.1.6および3.2.2とサポートが終了している古いバージョンで、ルーティング機能を有効にしている場合に細工された「SpEL」によって、ローカルリソースへのアクセスを許容してしまう脆弱性「CVE-2022-22963」があるとのことも報告されている（Vmware、ZDNet）。

すべて読む | セキュリティセクション | セキュリティ | バグ | Java | IT |

関連ストーリー：
zlib に 17 年前から存在し、4 年前から放置されていた脆弱性が修正される 2022年04月04日
Chromeがついにバージョン100に到達 2022年03月31日
ホンダ・シビックのキーレスシステムを乗っ取り可能な脆弱性 2022年03月28日
Chromium 系ブラウザー、相次いで緊急アップデート 2022年03月27日
node-ipcメインテナー、ロシアとベラルーシのホストシステムのファイルを上書きするコードを追加 2022年03月22日
log4j問題等を受け、米政府がGAFAやApacheらを集めたOSSセキュリティサミットを開催 2022年01月18日
ハッキングコンテスト「Pwn2Own」で狙われたEdge、仮想マシン内のEdgeからホストにアクセスできる攻撃も行われる 2017年03月24日
Intel CPUに脆弱性が発見される。64ビットOSや仮想化ソフトに影響 2012年06月19日
ディスクワイプも免れるBIOS攻撃手法 2009年03月26日

headless 曰く、

zlib に 17 年前から存在し、4 年前に報告されたものの放置されていた脆弱性が修正された (The Register の記事、 Tavis Ormandy 氏の oss-security メーリングリスト投稿)。

この脆弱性はメモリ破損の脆弱性で、離れた位置の一致を多数含むファイルを圧縮しようとした場合に出力結果が破損するというもの。4 年前に 13 年前の zlib 1.2.2.2 から存在する脆弱性として報告されてパッチもコミットされていたが、このパッチがリリース版に含まれることはなく、今回 Google Project Zero の Tavis Ormandy 氏が再発見するまで CVE 番号さえも割り当てられずに放置されていた。今回の再発見を受け、2018 年に報告された脆弱性を示すCVE番号 CVE-2018-25032 が 3 月 25 日に割り当てられ、zlib 1.2.12 で修正されている。

すべて読む | ITセクション | オープンソース | セキュリティ | バグ |

関連ストーリー：
Microsoft、クラウド向けデータ圧縮アルゴリズムをオープンソース化 2019年03月20日
7-Zipで任意コード実行が可能となる2件の脆弱性 2016年05月15日
新たなデータ圧縮アルゴリズム「LZHAM」 2015年01月27日
Google、オープンソースソフトウェアの脆弱性修正にも報奨金を提供 2013年10月13日
6月末リリース予定のFirefox 22は一部のJavaScriptコードを高速に実行させる「asm.js」を搭載 2013年03月26日
VMware、Spring Frameworkに深刻な脆弱性「CVE-2022-22965」を発表。修正は公開済み 2022年04月05日

headless 曰く、

ホンダ・シビックのキーレスシステムを乗っ取り可能な脆弱性が発見された (CVE-2022-27254、 The Register の記事、 BleepingComputer の記事、 発見者の GitHub リポジトリ)。

この脆弱性はドアの開閉時に送信される無線信号が暗号化されていないため、車の近くにいる攻撃者が信号を記録して後で再生するリプレイ攻撃が可能というものだ。影響を受けるのは 2016 年 ～ 2020 年のシビック LX / EX / EX-L / Touring / Si / Type Rとされるが、ホンダ車では同様の脆弱性が過去にも見つかっており (CVE-2019-20626)、さらに多くの車種が影響を受ける可能性もある。

ホンダは BleepingComputer に旧モデルの修正予定はないと述べており、近くにいる攻撃者はハイテクな方法を使わなくても車にアクセス可能だとも述べているという。発見者は緩和策として、ファラデーポーチにキーフォブを入れる、RKE (remote keyless entry) の代わりに PKE (passive keyless entry) を使うなどの方法を紹介している。なお、既に攻撃者が信号を読み取って車へのアクセスが可能になっている場合、ディーラーに持ち込んでキーフォブをリセットしてもらうしかないとのことだ。

すべて読む | セキュリティセクション | セキュリティ | 通信 | バグ | IT | 交通 |

関連ストーリー：
複数メーカーの自動車のイモビライザに脆弱性、RFIDリーダーを使って暗号鍵を推測可能 2020年03月12日
三菱自動車のアウトランダーPHEVでリモートコントロール機能にセキュリティ上の問題 2016年06月09日
24車種にキーレスエントリーの脆弱性があることが判明。電波増幅するシステムを悪用 2016年03月26日
キーレスエントリー装備の自動車のドアを解錠する謎の小型装置、米国の監視カメラでその存在が明らかに 2013年06月11日
EV 版インフィニティに Intel の Atom 搭載 2012年04月11日

Microsoft のサポートドキュメントによると、Windows 10 / 11 の「バックアップと復元 (Windows 7)」コントロールパネルで作成した修復ディスクによる PC 起動ができない可能性があるそうだ (KB5013438、 Windows Central の記事、 BleepingComputer の記事)。

起動できない可能性があるのは、2022 年 1 月 11 日以降にリリースされた Windows の更新プログラムを適用した環境で作成した修復ディスクのみ。それ以前のバージョンは影響を受けないという。Microsoft ではこの問題の解決に取り組んでおり、今後の更新プログラムで修正する計画とのことだ。

すべて読む | ITセクション | バグ | Windows | IT |

関連ストーリー：
スラドに聞け：おすすめのOSバックアップソフトは？ 2018年07月31日

Outlook で PDF 添付ファイルのプレビューエラーが発生する主な原因と対処法について、Microsoft が解説している (サポート記事、 Windows Central の記事、 Bleeping Computer の記事)。

発生するエラーはプレビューアーがインストールされていないためプレビューが表示できないというものだ。原因の一つとして考えられるのは、Outlook と異なるビット版 (32 ビット版・64 ビット版) の Adobe Acrobat Reader がインストールされていることだ。これが原因になっているかどうかは、それぞれのアプリケーションのバージョン情報で確認できる。ビット版が異なっている場合は Acrobat Reader をいったんアンインストールし、Outlook と同じビット版をダウンロードしてインストールすればいい。

もう一つの原因として考えられるのは、Microsoft PowerToys のインストールで PDF プレビューの設定が上書きされていることだ。この場合は PowerToys を開いて「File Explorer add-ons」で「PDF (.pdf) プレビューを有効化する」をオフにすればいい。

すべて読む | ITセクション | マイクロソフト | バグ | IT |

関連ストーリー：
Microsoft Outlookがアドレス帳に登録された正規ドメインと似た字形の文字を使ったフィッシングドメインを区別しないという報告 2021年09月10日
Windows 10向けPowerToysがアップデート、コマンドランチャーとキー＆ショートカット入れ替えツールが追加される 2020年05月25日
Windows 10向けPowerToys v0.12.0リリース、一括リネームツールが追加 2019年11月02日
Windows 10用「PowerToys」プレビュー版が公開される 2019年09月08日
Microsoft、Windows 10用「PowerToys」をオープンソースで開発へ 2019年05月12日

route127 曰く、

プログラミングの第一歩としてお馴染みの課題であるHello, Worldであるが、これをANSI-Cに基づいてmainの戻り値をEXIT_SUCCESSマクロで記述し、出力をENOSPCエラーを返す疑似デバイスファイルである/dev/nullへリダイレクトさせるよう実行すると正常終了するというバグがあるようだ。
(https://blog.sunfishcode.online/bugs-in-hello-world/)

C言語以外でもJava、Haskell、Node.js、Ruby、およびPython 2では同様の動作であるが、Python 3、Perl、およびBashでは正しくエラーとなるとのことである。
Linuxでは/dev/fullの存在はお馴染みとなっているがBSD系では2014年にFreeBSD 11.0-CURRENTが、2018年にNetBSD 8が/dev/fullを追加しているようだ。

こうしたANSI-Cに比べれば追加されて日が浅い機能である/dev/fullがバグを顕在化させた側面もあるのだろうか？
豊富な実務経験を持つスラド諸兄から本件の「バグ」についてご意見を頂戴したいところである。

すべて読む | ITセクション | プログラミング | バグ | IT |

関連ストーリー：
VTuberのキズナアイ、22年2月26日で活動休止へ 2021年12月06日
3万台近いMacに感染しているが、まだ活動開始していないマルウェア「Silver Sparrow」 2021年02月23日
ローマ法王、初めてコードを書く 2019年03月27日
HackerRank調査、最も開発者に知られているプログラミング言語はJavaScript 2019年02月03日
高専生、「プログラミング言語かるた」の出資者をクラウドファンディングで募集中 2018年03月08日
英語のほうが得意な人のための日本語インプットメソッド「Konjac」 2011年09月06日

あるAnonymous Coward 曰く、

日本のSier業界では除け者にされているSELinuxであるが、絶対SELinux無効にするなの人のブログによるとRHEL9におけるSELinuxが変更されるそうだ（security.sios.com）。/etc/selinux/configのSELINUX=enforcingをdisabledにして再起動を行うとブート中にシステムがハングアップするとのこと。対策としてはbootパラメータで"selinux=0"をつけると回避はできるが、RedHat側としては推奨していない。

業務影響のリスクでセキュリティパッチをあてることはNGとされていたのが近年見直されたように(今でもご法度のところはいるが)いずれSELinuxの無効化も許されなくなる時代になるのかもしれない。

すべて読む | Linuxセクション | Linux | バグ |

関連ストーリー：
Foxconn製Androidスマートフォンのブートローダーにバックドア 2016年10月16日
Linuxカーネル3.8以降にローカルでの特権昇格を可能にするゼロデイ脆弱性 2016年01月21日
Androidで新たな脆弱性が多数発見される 2015年08月13日
最近のLinuxは複雑になりすぎている？ 2015年02月13日

Microsoft Defender for Endpoint で日本時間 16 日夜遅くから翌 17 日にかけて、誤ったランサムウェア警告が表示されるトラブルが発生したそうだ (Neowin の記事、 Softpedia の記事、 Steve Scholz氏のReddit投稿[1]、 [2])。

Microsoft の Steve Scholz 氏によれば、警告は「ファイルシステム上でランサムウェアの挙動が検出された」といった趣旨のタイトルで、Microsoft Office のコンポーネント「OfficeSvcMgr.exe」が原因として表示されるものだという。

調査の結果、最近提供したランサムウェアを検出するサービスコンポーネントの更新で、問題が存在しないときに警告を表示するコードが追加されてしまったことが原因とのこと。影響範囲は Microsoft Defender for Endpoint でランサムウェア警告を確認しようとした管理者とされる。Microsoft は修正版のコードをデプロイし、問題は 2 時間ほどで解消されたとのことだ。

すべて読む | ITセクション | セキュリティ | マイクロソフト | バグ |

関連ストーリー：
Windows 10の9月の累積更新プログラム、Bitdefenderにブロックされる 2020年09月12日
英国で大量に発生した羽アリを気象レーダーが雨と誤検知 2019年07月20日
Microsoft、無害なファイルがマルウェアと誤検知されるのを避けるための対策を紹介 2018年08月22日
検出能力の低いセキュリティアプリが多数のマルウェアを検出できる理由とは？ 2018年04月01日
ウイルス対策ソフト「Webroot」、誤検知でWindowsのシステムファイルを削除 2017年05月01日
トレンドマイクロにマルウェアと誤検知されたフリーソフトウェア開発者、問題はすでに解決済みとして経緯を再説明 2015年09月09日
トレンドマイクロのセキュリティソフトがmicrosoft.comをマルウェア配布サイトとしてブロックしていた 2012年12月26日
Sophos、自社製品をマルウェアと誤検出 2012年09月22日
Aviraが自分自身をマルウェアと誤検出 2011年10月31日

MSI が水冷クーラー「MAG CORELIQUID 240R / MAG CORELIQUID 360R」の一部で冷却性能が低下することがあるとして、製品交換を実施している (製品交換案内ページ、 シリアルナンバー確認ページ、 Neowin の記事、 Windows Central の記事)。

冷却性能低下は製品内部に発生する沈殿物が詰まることによるもので、特定のシリアルナンバーの製品で発生するという。交換対象になるかどうかはシリアルナンバーを確認ページで入力すれば確認できる。交換対象製品であることが確認された場合、購入地域を選択すれば適切な交換方法が案内されるとのこと。交換先の製品は MAG CORELIQUID 240R V2 / 360R V2 となる。

すべて読む | ITセクション | ハードウェア | バグ |

関連ストーリー：
焼損報告が相次いだ ASUS のマザーボード、キャパシターの逆付けが原因ではないかとの指摘 2021年12月31日
Dell 製 PC、一部のモデルで BIOS アップグレードに関連する問題が発生 2021年12月25日
Windows 11、バッテリーレベルが 100 % を超えても充電し続けるバグ 2021年11月08日
Intel、AMD プロセッサーに影響する Windows 11 のバグを利用して第 12 世代Core プロセッサーのパフォーマンスを強調？ 2021年10月31日
世界で初めて水冷ヒートシンクを搭載したM.2 SSDが登場 2020年08月31日
水冷や液体窒素による極冷環境下でフルの性能を発揮することが実証されているという熱伝導グリス 2020年08月13日
モーターで本体を傾けることでポンプなしで冷却液を循環させられる水冷PC 2018年01月09日

route127 曰く、

富士通製の郵便局業務ソフトのバグに起因して、2000 年から 2013 年にかけて英国の郵便局会社 (Post Office) の郵便局長 (subpostmaster) 736 人が不正経理や横領の罪状で起訴された事件について公聴会が開催されている(Post Office Horizon IT Inquiry)。

問題のソフトウェア「Horizon」は 1999年 に英郵便局へロールアウトした当初から不正確な会計報告書を出力する重大なバグが確認されていた。しかし、郵便局会社は報告書が信頼できると主張したため、報告書を証拠として横領罪などで起訴された数百名の郵便局長が有罪判決を受ける結果となった。

2019 年には裁判所がシステムの不具合を認め、郵便局会社が 555 人と和解して計 5,775 万ポンドの賠償金 (過去記事のソース記事は金額が誤り) を支払った。その後、元郵便局長らの有罪判決は次々に取り消されている。

ただし、賠償金の大半は裁判費用に消えており、元郵便局長らは 10 万ポンド単位の損害を受けたにもかかわらず、分配された賠償金は 1 人 2 万ポンド程度に過ぎない。郵便局会社現 CEO の Nick Read 氏は十分な補償ができるよう英政府から資金援助の約束を取り付けており、公聴会で冤罪事件を生む結果となった問題が解き明かされることに期待を示している (郵便局会社のニュース記事)。

すべて読む | ITセクション | 犯罪 | 英国 | ソフトウェア | バグ |

関連ストーリー：
富士通製ソフトウェアのバグが原因で横領犯にされていた英国の元郵便局長39名、十数年ぶりに名誉回復 2021年04月26日
欠陥のあるITシステムのせいで従業員に横領・窃盗疑惑がかけられた英国の事件、裁判所はシステムの不具合を認める 2019年12月19日

Microsoft が Windows の既知の問題に関するドキュメントを更新し、PC を初期状態に戻す際にすべてを削除するオプションを選択しても個人用ファイルが削除されない場合があることを認めた (Neowin の記事、 On MSFTの記事、 BetaNews の記事、 Ghacks の記事)。

問題が発生しているのは Windows 10 バージョン 20H2 / 21H1 / 21H2 および Windows 11 バージョン 21H2 で、「設定」の回復オプションから PC を初期状態に戻す場合のほか、 MDM や Intune でリモートから PC をリセットする場合も含まれる。現象としては OneDrive などのアプリでダウンロードまたは同期したファイルが削除されず、「Windows.old」フォルダー内に残されるというもので、1 週間ほど前に発生が報告されていた。

この問題の回避策としては、初期化を実行する前に OneDrive からサインアウトまたはリンクを解除する方法が紹介されている。また、初期化後に Windows.old フォルダーを削除する方法も緩和策として紹介されている。Microsoft では問題解決に努めており、今後のリリースで修正を計画しているとのことだ。

すべて読む | ITセクション | クラウド | バグ | Windows | IT |

関連ストーリー：
Microsoft、Windows 10のOOBEにカスタマイズオプションを追加する計画 2020年10月12日
Windows 10 May 2020 Update、OS再インストール機能の「新たに開始」が呼び出せなくなっていた 2020年06月17日
Microsoft、不具合報告を受けてWindows 10向けセキュリティ更新プログラムKB4524244の提供を中止 2020年02月21日
Microsoft、ファイル消失問題を修正したWindows 10 Insider Previewビルドをテスト中 2018年10月13日
Windows 10 October 2018 Updateでのデータ消失問題、原因が判明。被害者はMicrosoftへご連絡を 2018年10月10日
Microsoft、Windows 10 October 2018 Updateのロールアウトを一時停止 2018年10月06日
Windows 10に無料アップグレードしたデバイスは、いつでも無料でクリーンインストールが可能になる 2015年06月06日
Windows 8はPCの「リセット」および「リフレッシュ」機能を搭載 2012年01月06日

少し前にユーザー名を数字で登録するとバグが発生するという話題を紹介したことがあったが、似たようなことがパスワードでも発生しているようだ。＠mainyさんの「Qiita」上の記事によれば、パスワードの1文字目に「~(チルダ)」を使用すると問題があるのだという。同氏によると踏み台サーバー経由でサーバーAに接続して作業をし、サーバーA上でroot権限になろうと「sudo su -」し、上記の「~.xxxxxxxxxx」のような「~」から始まる条件のパスワードを入力したらサーバーAから追い出されてしまったという（＠mainyさんの記事）。

結論としては「~.」 は ssh 接続を閉じるコマンドであり、パスワードを入力しているつもりなのに、2文字目の . を入力した途端 ssh がサーバーAの接続を閉じて踏み台サーバーに戻るという現象が発生、結果としてパスワード入力中に接続が閉じられるという状況になってしまったという。なおパスワードの途中に「~.」があっても問題は無いそうだ。

すべて読む | セキュリティセクション | セキュリティ | バグ |

関連ストーリー：
Qiitaで3桁数字のユーザー名を登録するとバグが起きるかもしれない 2021年11月17日
sudoに10年近く前から存在した脆弱性が修正される 2021年01月30日
Microsoft Edgeブラウザに新たな脆弱性、リモートコード実行が可能 2018年11月09日

Tesla が特定の状況でシートベルトリマインダーの警告チャイムが鳴らないとして、リコールを発表している (Tesla のサポート記事、 Neowin の記事、 Ars Technica の記事、 米国家運輸安全委員会のリコール情報: PDF)。

対象となるのは特定の 2021 年 ～ 2022 年式 Model S / Model X と、2022 年 1 月末までに製造されたModel 3 / Model Y。チャイムが鳴らなくなる状況としては、警告が出た状態のままで停車して運転者がいったん車から降り、再度乗車して出発した場合に限られるという。

この状況ではシートベルトを着用していなくてもシステムが既に警告を出していると誤認識し、チャイムが鳴らないそうだ。ただし、走行速度が時速 22 km を超えるとシートベルトリマインダーが再び作動してチャイムが鳴る。また、シートベルトリマインダーの表示機能については影響を受けない。

米国家運輸安全委員会 (NHTSA) によれば対象車両は 817,143 台。リコールといっても問題の修正は OTA でのソフトウェアアップデートにより行われるため、修理の予約などは必要ない。ソフトウェアバージョン 2021.43.101.1 および 2022.4.5 以降で問題が修正され、2022.4.5 は 2 月初めにデプロイ予定とのこと。

ちなみに、Tesla のオーナーズマニュアル日本語版では乗員全員がシートベルトを着用してもリマインダー表示が消えない場合の対応として、 Model 3 / Model S / Model X / Model Y ともに「すべての乗員がシートベルトを外したにもかかわらずリマインダーがオンのままの場合は、シートベルトが正しく着用されていることを確認するために再度着用し直します。」と説明されている。英語版の説明は間違っていない。

すべて読む | ITセクション | バグ | IT | 交通 |

関連ストーリー：
Tesla 車で急増するファントムブレーキングに関する苦情 2022年02月05日
テスラ、EV5万4000台をリコールへ。運転支援機能で一時停止を無視が問題視 2022年02月04日
Tesla、米当局が危険性の調査を開始した走行中のゲームプレイ機能を早速無効化 2021年12月26日
Tesla のサーバー障害、アプリで Tesla 車に接続できなくなる 2021年11月21日
米国家運輸安全委員会、2 名が死亡した Tesla Model S の死亡事故で運転席にドライバーが座っていたとの見解 2021年10月24日
Tesla曰く、2名が死亡したModel Sの衝突事故では誰かが運転席に座っていた 2021年04月29日
Consumer Reports、Tesla車のAutopilotを有効にしたままドライバーが運転席から助手席へ移動できることを確認 2021年04月24日
Tesla、車内への子供置き去り検出システムなどに使用するため、基準より高出力の短距離ミリ波レーダー使用許可をFCCに申請 2020年08月24日

headless 曰く、

米国家運輸安全委員会 (NHTSA) に送られた Tesla 車に対する最近の苦情では、ファントムブレーキングに関するものが急増しているようだ (The Washington Post の記事、 The Verge の記事)。

ファントムブレーキングは進行方向の危険を誤検知して緊急自動ブレーキが作動するというもので、対向車線のトラックを進行方向の危険と誤検知したというものが多いようだ。中には時速 80 km からほぼ停止するような急ブレーキも報告されている。Tesla は FSD ソフトウェアの一つのバージョンで誤検知により緊急自動ブレーキが作動するとして昨年 10 月にリコールしているが、ファントムブレーキングに関する苦情は 11 月に急増。12 月と 1 月もそれ以前よりも大幅に高い状態が続いている。昨年 4 月 27 日以降に製造された北米向け Tesla Model 3 / Y がレーダー非搭載となっていることとの関係も指摘されている。

すべて読む | ITセクション | バグ | IT | ロボット | 交通 |

関連ストーリー：
テスラ、EV5万4000台をリコールへ。運転支援機能で一時停止を無視が問題視 2022年02月04日
米検察、Autopilot 有効時に死亡事故を起こした Tesla 車のドライバーを過失致死罪で起訴 2022年01月22日
テスラ｢Model 3｣を改造、マイニングにより走行時の電気代も稼げる車に 2022年01月18日
米カリフォルニア州自動車局、Tesla 車の「完全自動運転」を自律走行車規制の対象にする考え 2022年01月15日
米国家運輸安全委員会、走行している Tesla 車のセンターディスプレイでゲームをプレイできる機能を調査 2021年12月24日
米フィラデルフィアの女性、Autopilot で走行中の Tesla 車の助手席で出産していた 2021年12月22日
Tesla のサーバー障害、アプリで Tesla 車に接続できなくなる 2021年11月21日
米国家運輸安全委員会、レーダー非搭載になった北米向けTesla Model 3/Yを安全性技術非搭載扱いにする 2021年05月29日
Tesla、状況によってシートベルト警告チャイムが鳴らない問題でリコールを発表 2022年02月06日

1月15日にトンガ沖で火山噴火が発生、その影響で日本でも津波注意報や警報が出された。過去記事でも取り上げているが、このとき神奈川県では15日夜から16日朝にかけて緊急速報エリアメールが多数発信され問題になった。この問題に関する報告書が1月31日に発表された。それによると、緊急速報メール配信ミスの原因は、2017年度に構築された災害情報管理システムの設定に誤りがあったためだとしている（神奈川県リリース、NTT東日本：津波注意報に伴う緊急速報メールの配信設定誤りについて（お詫び）、NTT東日本：津波注意報に伴う緊急速報メールの配信設定誤りに関する報告書[PDF]）。

具体的には気象庁が発表した警報を受信し、県の緊急速報メールの配信基準に合致するかを自動判別するプログラムに設定ミスがあったとしている。この結果、神奈川県に無関係な津波注意報や津波情報の緊急速報メールを繰り返し配信することになったとしている。システム構築時のの試験パターン不足やプログラムの稼働状況を、県職員の立会いのものとで事前確認しなかったことが事前に問題を把握できなかった要因であるなどとしている。

すべて読む | ITセクション | 日本 | バグ | インターネット | IT | 政府 |

関連ストーリー：
トンガの火山噴火と空振が発生。広範囲な潮位変動で日本にも影響 2022年01月17日
横浜市エリアメールがきっかけで公式ページが一時アクセス困難に 2014年10月15日
消防庁、「ミサイル速報」を開始 2014年03月28日
大阪府の一斉防災訓練で携帯電話への訓練用メールが一部届かず 2012年09月07日

主な Linux ディストリビューションに標準でインストールされるツールキット Polkit (旧名: PolicyKit) の最初のバージョン (12 年前) から存在したメモリ破損の脆弱性 (CVE-2021-4034) について、発見した Qualys が解説している (Qualys Security Blog の記事、 Red Hat のアドバイザリー、 Neowin の記事、 Ars Technica の記事)。

Qualys が Pwnkit と名付けた脆弱性は非特権ユーザーがrootの権限でコマンドを実行できるようにする Polkit の コマンドラインツール pkexec に存在する。pkexec の main() 関数ではコマンドライン引数の数 (argc) を適切に処理せず、常に 1 以上として扱うため、引数リスト (argv) が空の状態でも境界外のメモリを引数 (argv[1]) として読み書きしてしまう。

境界外の直近にあるのは 1 つ目の環境変数 (envp[0]) であり、pkexec は読み取った値を実行ファイルの名前として PATH 環境変数で指定されたディレクトリを探し、一致する実行ファイルが見つかったらパスを付加して envp[0] を上書きする。これにより、通常は main() 関数実行前に除去される「安全でない」変数を pkexec の環境に再導入することが可能であり、悪用することでローカルでの権限昇格が可能になる。

Polkit では argc が 1 未満の場合に処理を終了する修正を行っており、修正済みの Polkit パッケージが入手可能になり次第更新することが推奨される。

すべて読む | セキュリティセクション | Linux | オープンソース | セキュリティ | バグ |

関連ストーリー：
HP / Samsung / Xerox のプリンタードライバーに 16 年前から存在した脆弱性 2021年07月25日
Linuxでプロセスの権限を設定するpolkit、7年以上前から存在した特権昇格の脆弱性が見つかる 2021年06月12日
Windows Serverに17年前から存在していたバグが修正される 2020年07月18日
Linuxカーネルに11年以上前から存在する特権昇格の脆弱性「Dirty COW」が修正される 2016年10月22日
TLS/SSL実装に20年前からの脆弱性、影響範囲は広範 2015年03月11日
Microsoft、18年にわたってWindowsに存在した脆弱性を修正 2014年11月15日
FFmpegのLZO実装コードに脆弱性、20年前から存在 2014年07月02日

Twitterでポテトチップスの中に星型にくり抜かれたものが入っていたとして、アナウンサーの岩﨑弘志さんがツイートして話題となっていた。しかし、この星型にくり抜かれたチップス、コアラのマーチのまゆげ付きのようなレアものとは異なり、メーカーの誤混入により発生したものなのだそうだ（岩﨑弘志さんのツイート、博多ごりえママさんのツイート）。

この件に関して、博多ごりえママさんがカルビーに問い合わせたところ、カルビーから返答があったという。その返答によれば、この星型に抜かれたものは製品の揚げ具合を確認するための「テストチップ」と呼ばれるものであるという。本来は取り除くべきものであるが、手作業で行われているため取り除ききれなかったものだそうだ。

すべて読む | ITセクション | バグ | 変なモノ | 娯楽 |

関連ストーリー：
天候の影響で北海道産ばれいしょ減収。ポテトチップスやじゃがりこなどが実質値上げへ 2021年11月04日
コントローラー操作と割りばし利用が併用可能な「ゲーミング割りばしホルダー」 2021年08月31日
板橋区、災害用の非常食にポテトチップス採用 2021年02月27日
カルビー ポテトチップス、パッケージを縦長に変更して段ボールとトラック使用台数を削減 2020年09月19日
Microsoft Teamsのオンライン会議機能が強化される。会議中食事をしても咀しゃく音を消せるる 2020年03月23日
ポテトチップス専用マジックハンドにタッチペンを合体させた「スマートポテトチップス」 2019年05月14日
レンジで袋ごと温められるポテトチップス、自主回収へ 2019年02月25日

ASUS のゲーミングマザーボード ROG Maximus Z690 Hero で焼損報告が相次いだのだが、キャパシターが逆極性で取り付けられていることが原因ではないかと指摘されている (Neowin の記事、 Wccftech の記事、 Actually Hardcore Overclocking の検証動画)。

現象としては、異音がしたものの問題を確認できなかったが、翌日にはマザーボード上の LED がエラーを表示して起動しなくなり、LED 付近のチップが焼損していたというものから、新たに組んだ PC が 5 時間ほどで電源が落ちて焦げるような匂いがしたので、同じものを買いなおして確認したところ、今度は発火したというものまでさまざまだ。

YouTube チャンネル Actually Hardcore Overclocking がマザーボードの写真で確認したところ、焼損した個体のみキャパシターの極性マークの位置が逆になっていることがわかったという。現物で検証したわけではないので推測の域を出ないが、焼損しているのはキャパシターの隣にある MOSFET であり、ロットによって逆極性になるような基板デザインはまずないので、これが原因の可能性が高いとのこと。

追記: タレコミへのコメントで ASUS の発表が出ていることを教え頂いた。ASUS はメモリキャパシターの逆付けが原因の可能性が高いことを確認しており、影響を受ける個体は2021 年製造のパーツ番号 90MB18E0-MVAAY0 でシリアル番号が MA・MB・MC のいずれかから始まるものだという。現在は調査を進めている段階だが、当局と協力して交換プログラムの実施を計画しているとのことだ。

すべて読む | ハードウェアセクション | ハードウェア | バグ |

関連ストーリー：
Dell 製 PC、一部のモデルで BIOS アップグレードに関連する問題が発生 2021年12月25日
GM、バッテリー発火の可能性がある Chevrolet Bolt EV 駐車時に他の車から安全な距離を保つことを推奨 2021年09月19日
Amazon Games の「New World」クローズドベータ、GPU を故障させる 2021年07月25日
図書館で借りた本を消毒のため電子レンジで加熱し、本につけられたRFIDタグが発火するという事故 2020年06月27日
東光東芝メーターシステムズ製スマートメーターでコンデンサーが原因の発火などトラブルが多発。約9.7万台を交換へ 2018年12月28日