25日に「CCleaner」が5.78.8558に更新された。この更新ではドライブワイパー機能の空きスペースのみの項目が削除されたという。英Piriform Softwareのリリースによれば、ユーザーから空き領域以外も消去してしまうという報告があり、調査が終了するまで一時的な対処としてこの項目を削除されたとしている。窓の杜では旧バージョンを使用している場合でも、安全が確認されるまでは関連機能の使用は控えた方がいいと指摘している（Piriform Software、窓の杜）。

すべて読む | ITセクション | バグ | IT |

関連ストーリー：
CCleanerがFirefox 79の拡張機能データファイルを一部Webキャッシュとして削除する問題 2020年08月08日
Microsoft曰く、CCleanerの特定バージョンのインストーラーは望ましくない可能性のあるアプリ 2020年08月02日
デフラグ用フリーソフト冬の時代 2019年11月11日
Avast、サプライチェーン攻撃を受けていたことを公表 2019年10月24日
Microsoftコミュニティ、投稿から非表示にするWebサイトのブラックリストが存在する？存在しない？ 2019年09月28日
Piriformが32ビット版CCleanerのマルウェア感染を発表、最新版への更新を呼び掛け 2017年09月20日

法政大学の島野智之教授が、Twitterに投稿されていた写真から偶然、新種の海岸性ダニ類を発見したそうだ。銚子市で釣りをしていた会社員の方が撮影した1枚の写真に、北海道以南では見つかっていなかったハマベダニ属のダニ（ササラダニ類）がいたことに気がついたという。教授は新種では無いかと考え、共同研究者や写真を撮った会社員などとも協力して現物を採取し検証、新種であることを確認したそうだ（法政大学）。

今回の発見のきっかけがTwitterの写真であったことから学名は「Ameronothrus twitter」（和名:チョウシハマベダニ）と付けられたとのこと。今回の発見はTwitterで偶然見つかった世界で初めての動物の新種（生物では2例目）らしい。リリースでは今回の出来事はSNSによって誰もが新発見などに関与できる可能性があること示したとしている。

manmos 曰く、

法政大学島野教授がTwitterの一般ユーザ投稿写真から偶然新種の海岸性ダニ類を発見．学名はTwitterに由来

情報元へのリンク

すべて読む | ITセクション | バグ | サイエンス |

関連ストーリー：
駿河湾深海で発見された新種の巨大深海魚、「ヨコヅナイワシ」と名付けられる 2021年01月28日
新種の偽造五百円硬貨が相次ぎ見つかる。自動販売機で通用する可能性も 2020年12月28日
イギリスで新型コロナウイルスの新種が報告される。すでに1000件以上の感染例 2020年12月17日
改正種苗法が可決・成立。新規登録の種や苗を国外に持ち出すことに制限 2020年12月04日
日本で発見された新種の寄生バチ、ゴジラと名付けられる 2020年11月08日
魚類で新しい科が新設。通称ドラゴンスネークヘッド科 2020年10月22日
メキシコで発見された新種のハチ、COVID-19にちなんだ学名が付けられる 2020年10月14日

"OpenSSL, the most widely used software library for implementing website and email encryption, has patched a high-severity vulnerability that makes it easy for hackers to completely shut down huge numbers of servers," reports Ars Technica: On Thursday, OpenSSL maintainers disclosed and patched a vulnerability that causes servers to crash when they receive a maliciously crafted request from an unauthenticated end user. CVE-2021-3449, as the denial-of-server vulnerability is tracked, is the result of a null pointer dereference bug. Cryptographic engineer Filippo Valsorda said on Twitter that the flaw could probably have been discovered earlier than now. "Anyway, sounds like you can crash most OpenSSL servers on the Internet today," he added. Hackers can exploit the vulnerability by sending a server a maliciously formed renegotiating request during the initial handshake that establishes a secure connection between an end user and a server... The maintainers have rated the severity high. Researchers reported the vulnerability to OpenSSL on March 17. Nokia developers Peter Kästle and Samuel Sapalski provided the fix. Ars Technica also reports that OpenSSL "fixed a separate vulnerability that, in edge cases, prevented apps from detecting and rejecting TLS certificates that aren't digitally signed by a browser-trusted certificate authority."

Read more of this story at Slashdot.

2月2日にオプションの更新プログラムとして配信されたWindows 10 バージョン2004/20H2のプレビュー版累積更新プログラム(KB4598291、リリースC)および以降の更新プログラムをインストールした環境の一部で、ライセンス認証に失敗する問題が発生しているそうだ(KB5001692、 BetaNewsの記事、 Softpediaの記事)。

この問題はOEM Activation 3.0 (OA3)のデジタルプロダクトキー(DPK)を使用してライセンス認証する際に発生するものだという。処理を実行するコンポーネントにレジストリハイブへの適切なアクセス権限がないためプロダクトキーが正しく抽出できず、ライセンス認証エラー0xC004C003が発生するとのこと。

暫定的な対処方法としては、この問題が含まれない1月の月例累積更新プログラム(KB4598242)またはそれ以前のリリースを問題が解消するまで使用するという方法が紹介されている。問題が導入されたのはセキュリティコンテンツを含まない累積更新プログラムのプレビューだが、2月と3月の月例更新で提供された累積更新プログラムにも問題が含まれるような表現になっている。そのため、説明に従うと2か月分のセキュリティ修正が導入できないことになってしまう。

Microsoftはこの問題を根本的に解決する更新プログラムを準備しているとのことだが、リリース時期については記載されていない。

すべて読む | ITセクション | アップグレード | バグ | Windows | IT |

関連ストーリー：
Windows 10の無償アップグレード提供はまだ終了していない？ 2019年12月03日
Microsoftのライセンス認証サーバーで不具合、多数のWindows 7が「非正規品」扱いされる 2019年01月15日
ライセンスサーバーの問題でWindows 10 Pro/Enterpriseのライセンス認証が一部で無効になるトラブル 2018年11月10日
ロシアの知財裁判所、ソフトウェア不正使用で訴えられる 2018年04月30日
Windows 10 Anniversary Updateではライセンス認証機能が改善される 2016年06月24日
Windows 10へのアップグレード後マザーボードを交換するとライセンス認証できないという話は嘘？ 2016年06月17日
米特許商標庁、ソフトウェアのライセンス認証システムに関する特許を無効と判断 2016年03月31日
海賊版のWindows 8 Proを無償で正規にライセンス認証可能な問題が発覚 2012年11月23日

headless 曰く、

NVIDIAがRTX 3060のベータ版ドライバーで暗号通貨Ethereum採掘時のハッシュレート制限を解除したと話題になったが、誤って開発用コードをリリースしてしまったものだったそうだ(The Vergeの記事[1]、 [2]、 Neowinの記事)。

NVIDIAではゲーマーが入手しやすくするためとして、ハッシュレート制限を発表。ドライバーだけの問題ではなく、ドライバーとチップ、BIOS(ファームウェア)のセキュアなハンドシェイクが行われるため容易には迂回できないと説明していた。しかし、PC Watchが具体的な内容には触れなかったもののドライバーやBIOSの改造なしに迂回する方法が発見されたと報じ、ComputerBaseがWindows Insider Programを通じてリリースされたベータ版ドライバーGeForce 470.05を使用するだけで迂回できることを確認していた。

NVIDIAによれば、470.05には内部の開発向けに一部の構成でRTX 3060のハッシュレート制限を解除するコードが誤って含まれていたという。ドライバーは削除されているが、既にオンライン上で共有されており、NVIDIAがこのドライバーの使用を止めることはできないとみられている。

AKIBA PC Hotline!によると、制限をかけたことで市場に出回っていたGeForce RTX 3060が、このベータ版ドライバ流出を受けて、秋葉原でも16日に一気に在庫がなくなったそうだ。記事によると16日だけで50本以上売れた店舗もあるそうだ（AKIBA PC Hotline!）。

すべて読む | セキュリティセクション | ハードウェア | ソフトウェア | グラフィック | バグ | 暗号 | お金 |

関連ストーリー：
Linus Sebastian氏、NVIDIAのマイニング対策を「ゲーマーをかばうフリをしている」と批判 2021年02月26日
NVIDIAがマイニング専用GPU「CMP HX」を発表。映像出力を省きシステムも効率化 2021年02月23日
品不足が予想される「GeForce RTX 3060」、暗号資産マイニング性能が強制半減される仕様に 2021年02月19日

"Three recently unearthed vulnerabilities in the Linux kernel, located in the iSCSI module used for accessing shared data storage facilities, could allow root privileges to anyone with a user account," reports SC Media: "If you already had execution on a box, either because you have a user account on the machine, or you've compromised some service that doesn't have repaired permissions, you can do whatever you want basically," said Adam Nichols, principal of the Software Security practice at GRIMM. While the vulnerabilities "are in code that is not remotely accessible, so this isn't like a remote exploit," said Nichols, they are still troublesome. They take "any existing threat that might be there. It just makes it that much worse," he explained. "And if you have users on the system that you don't really trust with root access it, it breaks them as well." Referring to the theory that 'many eyes make all bugs shallow,' Linux code "is not getting many eyes or the eyes are looking at it and saying that seems fine," said Nichols. "But, [the bugs] have been in there since the code was first written, and they haven't really changed over the last 15 years...." That the flaws slipped detection for so long has a lot to do with the sprawl of the the Linux kernel. It "has gotten so big" and "there's so much code there," said Nichols. "The real strategy is make sure you're loading as little code as possible." The bugs are in all Linux distributions, Nichols said, although the kernel driver is not loaded by default. Whether a normal user can load the vulnerable kernel module varies. They can, for instance, on all Red Hat based distros that GRIMM tested, he said. "Even though it's not loaded by default, you can get it loaded and then of course you can exploit it without any trouble...." The bugs have been patched in the following kernel releases: 5.11.4, 5.10.21, 5.4.103, 4.19.179, 4.14.224, 4.9.260, and 4.4.260. All older kernels are end-of- life and will not receive patches.

Read more of this story at Slashdot.

米国で「Microsoft Exchange Server」のProxyLoginと呼ばれる脆弱性を突いた攻撃が広まっている。被害は米国企業だけでも3万の組織に及ぶとも報じられている。Microsoftによれば、中国に拠点を置くサイバー攻撃グループ「Hafnium」が米国に置かれているレンタルのVPSサーバーを経由して攻撃を行っているという（Microsoft、ProxyLogon.com、Security NEXT、日経新聞）。

この脆弱性ProxyLoginは攻撃者が認証をバイパスして管理者になりすますことが可能なもの。共通脆弱性識別子はCVE-2021-26855が割り振られている。Microsoftによれば、「Exchange Server 2013」「Exchange Server 2016」「Exchange Server 2019」でセキュリティ上の問題が発生している。同社は米国時間の2日にセキュリティ更新プログラムをリリースしており、JPCERT/CCや情報処理推進機構（IPA）も早急に修正プログラムを適用するよう求めている（IPA、JPCERT/CC）。

これに合わせて米サイバーセキュリティ・インフラセキュリティ庁（CISA）は3日、緊急指令「Mitigate Microsoft Exchange On-Premises Product Vulnerabilities」を発令。政府機関に直ちに脆弱性に対処することを求めている（ZDNet、TECH+ ）。

すべて読む | セキュリティセクション | 犯罪 | セキュリティ | マイクロソフト | バグ |

関連ストーリー：
Microsoft、Windowsの更新プログラムで問題の発生した部分だけをロールバックできる「Knows Issue Rollback」の仕組みを解説 2021年03月07日
ハッキング事件の起きたSolarWindsサーバーでは「solarwinds123」というパスワードが使用されていた 2021年03月02日
Microsoftのマルウェア対策エンジンに12年以上前から存在した脆弱性 2021年02月16日
Microsoft、ドメインコントローラー強制モードのデフォルト有効化に向けて対応を呼びかけ 2021年01月22日
Windows 10でBSoDを引き起こすWin32デバイス名前空間パス 2021年01月20日
Microsoft、SolarWindsの悪用攻撃によりソースコードを閲覧される 2021年01月05日
GoogleのProject Zero、6月の更新プログラムで完全に修正されていなかったWindows 10の脆弱性を公表 2020年12月27日

"In a message to the Linux Kernel Mailing List Wednesday, founding developer Linus Torvalds warned the world not to use the 5.12-rc1 kernel in his public git tree..." writes Ars Technica: As it turns out, when Linus Torvalds flags some code dontuse, he really means it — the problem with this 5.12 release candidate broke swapfile handling in a very unpleasant way. Specifically, the updated code would lose the proper offset pointing to the beginning of the swapfile. Again, in Torvalds' own words, "swapping still happened, but it happened to the wrong part of the filesystem, with the obvious catastrophic end results." If your imagination is insufficient, this means that when the kernel paged contents of memory out to disk, the data would land on random parts of the same disk and partition the swapfile lived on... not as files, mind you, but as garbage spewed directly to raw sectors on the disk. This means overwriting not only data in existing files, but also rather large chunks of metadata whose corruption would likely render the entire filesystem unmountable and unusable. Torvalds goes on to point out that if you aren't using swap at all, this problem wouldn't bite you. And if you're using swap partitions, rather than swap files, you'd be similarly unaffected... Torvalds also advised anyone who'd already pulled his git tree to do a git tag -d v5.12-rc1 "to actually get rid of the original tag name..." — or at least, to not use it for anything. "I want everybody to be aware..." Torvalds writes, "because _if_ it bites you, it bites you hard, and you can end up with a filesystem that is essentially overwritten by random swap data. This is what we in the industry call 'double ungood'."

Read more of this story at Slashdot.

佐賀市の公式サイトで、マイナンバーカードや運転免許証などの個人情報が閲覧可能になっていたことが分かった（佐賀市リリース、NHK）。

同市のお問い合わせのメール送信フォームから送信された添付画像に関して、特定のURLを直接入力することにより第三者が閲覧できる状態となっていたという。同市は外部からの指摘で状況を把握したとしている。3月1日時点では被害は確認されていないとしている。

閲覧できる状態となっていた画像データは986件。そのうちマイナンバーカード・同通知カード、運転免許証、パスポート、申請書等の個人情報を含む画像データが123件。報告写真等の個人情報を含まない画像データは863件だという。

2019年に市の公式サイトを改修したときに、メール送信フォームに画像添付機能を追加した。この画像データはファイル名がランダムに付けられ、メール本文とともに各課に送信される。メール送信履歴は、第三者が閲覧できないようアクセス制限を設定していたものの、画像データにはアクセス制限が適切に設定されていなかったとのこと。

すべて読む | セキュリティセクション | セキュリティ | 政治 | バグ | 情報漏洩 |

関連ストーリー：
前橋市教委のサーバーで発生した不正アクセスによる情報漏洩被害、管理委託先のNTT東は損害賠償の支払いを拒否 2020年02月21日
居酒屋チェーンの運営会社、車上荒らしでマイナンバーを含む個人情報流出 2016年04月27日
堺市、情報漏洩対策としてUSBポートをふさぐ 2016年02月13日
ECサイト「こまもの本舗」に不正アクセス、セキュリティコードを含むカード情報などが漏洩 2016年02月10日
ネットショップでの情報漏洩、裁判で開発会社の責任が認められる 2015年01月22日
ベネッセコーポレーションの顧客情報が流出 2014年07月10日

Brave Browser had a privacy issue that leaked the Tor onion URL addresses you visited to your locally configured DNS server, "exposing the dark web websites you visit...", writes Bleeping Computer. Long-time Slashdot reader AmiMoJo quotes their report: To access Tor onion URLs, Brave added a "Private Window with Tor" mode that acts as a proxy to the Tor network. When you attempt to connect to an onion URL, your request is proxied through volunteer-run Tor nodes who make the request for you and send back the returned HTML. Due to this proxy implementation, Brave's Tor mode does not directly provide the same level of privacy as using the Tor Browser. When using Brave's Tor mode, it should forward all requests to the Tor proxies and not send any information to any non-Tor Internet devices to increase privacy. However, a bug in Brave's "Private window with Tor" mode is causing the onion URL for any Tor address you visit to also be sent as a standard DNS query to your machine's configured DNS server. This bug was first reported in a Reddit post and later confirmed by James Kettle, the Director of Research at PortSwigger. BleepingComputer has also verified the claims by using Wireshark to view DNS traffic while using Brave's Tor mode. Brave has since released an update which fixes the bug.

Read more of this story at Slashdot.

iRobot, maker of the robotic Roomba vacuums, has confirmed that a software update has been causing issues for some users of its i7 and s9 robots and that it's working on another one to prevent future issues. The catch? It might be a bit before things get sorted out, with iRobot expecting the update to roll out "over the next several weeks." From a report: According to users on Reddit and Twitter, the recent 3.12.8 firmware update has been causing navigation issues. One user described their robot cleaner as acting "drunk" after the update: spinning itself around and bumping into furniture, cleaning in strange patterns, getting stuck in an empty area, and not being able to make it home to the dock. What's more, some other users are reporting that the environment maps their Roombas made were wiped out by the update.

Read more of this story at Slashdot.

According to Arizona Department of Corrections whistleblowers, hundreds of incarcerated people who should be eligible for release are being held in prison because the inmate management software cannot interpret current sentencing laws. From a report: KJZZ is not naming the whistleblowers because they fear retaliation. The employees said they have been raising the issue internally for more than a year, but prison administrators have not acted to fix the software bug. The sources said Chief Information Officer Holly Greene and Deputy Director Joe Profiri have been aware of the problem since 2019. The Arizona Department of Corrections confirmed there is a problem with the software. As of 2019, the department had spent more than $24 million contracting with IT company Business & Decision, North America to build and maintain the software program, known as ACIS, that is used to manage the inmate population in state prisons. One of the software modules within ACIS, designed to calculate release dates for inmates, is presently unable to account for an amendment to state law that was passed in 2019.

Read more of this story at Slashdot.

headless 曰く、

Appleは15日、watchOS 7.2/7.3を搭載するApple Watch Series 5/SEが省電力モードになった後に充電されなくなる事例がごく少数報告されているとして、対処方法を公開した(HT212180、 Mac Rumorsの記事、 SlashGearの記事、 Mashableの記事)。

この問題が発生しているApple Watchでは充電器の上に置いて30分以上待っても充電されないという。このような問題が発生した場合は、Appleサポートに連絡すれば無償修理が受けられる。先日発表されたMacBook Proのバッテリー無料交換と同様、Apple 修理サービスプログラムではなくサポートドキュメントでの発表のみとなっており、個別にAppleへの問い合わせが必要になる。

問題の発生を防ぐOSアップデートが公開されたのもMacBook Proのケースと同様だが、こちら(watchOS 7.3.1)は既に発生している問題も修正可能と受け取れる説明になっている。ただし、OSアップデートで100%修正可能なら無償修理も必要ないため、修正できない可能性があるのか、未発生のデバイスを対象とした修正なのか明確ではない。

すべて読む | アップルセクション | 電力 | バグ | アップル |

関連ストーリー：
Apple、充電レベルが1％を超えない2016年/2017年モデルMacBook Proのバッテリーを無料交換 2021年02月11日
H.モーザー、スマートウォッチ風デザインの機械式腕時計「Swiss Alp Watch Final Upgrade」を発表 2021年02月07日
watchOS 7.3配信へ。国内でもApple Watchで心電図や心拍の通知機能が利用可能に 2021年01月28日
Apple Watchの高度計、急激な気圧変化に対応できない？ 2021年01月12日
Snapdragon 888、公開データではシングルスコアでAppleのA14だけでなくA13にも劣る結果に 2020年12月22日
AppleのUSB-C 29W電源アダプタはMagSafeデュアル充電パッドに対応しない 2020年12月15日

織物業界関係では今でも紋紙と呼ばれるパンチカードを使っているところが多いようだ。その一つである大城戸織布さんが紋紙がクラッシュした状況や修復までの過程などをブログ上に掲載している。クラッシュ後の修正もすべて手作業でやっているようだ（大城戸織布）。

pongchang 曰く、

パンチカードがクラッシュした様子を大城戸織布さんがブログに揚げて居る。
どさや：クラッシュして事故品の布が出た時
むきあいちゅう：紋紙を貼り合わせて修復しているところ
こうりつか：紋紙の矯正
まだあやしい：折り目をつける

パンチカードもオープンリール磁気テープも、無くて済む仕事で良かったが、昔の器械は大変だな。電子化が進んでもフロッピーディスクだったりするのが織物界隈（山本呉服店の記事、sradの過去記事）

情報元へのリンク

すべて読む | ITセクション | バグ | IT |

関連ストーリー：
「パソコンがない時代、どうやって仕事してたの？」 2019年11月05日
プログラミング言語FORMACの開発者であるJen E. Sammet氏が逝去 2017年06月06日
フロッピーディスクの需要減で西陣織がピンチ 2014年08月11日
未来技術遺産としてセメダインC、カシオSL-800など22件が登録 2013年09月07日
自作パンチカードリーダーで昔のパンチカードを読み取る 2012年07月29日
働き続けるレガシーシステム 2012年03月12日
IBMがナノサイズのパンチカードを開発 2002年06月12日

headless 曰く、

メルセデス・ベンツが車載の緊急通報システム(eCall)で不正確な位置情報を通報センターに通知してしまう可能性があるとして、米運輸省道路交通安全局(NHTSA)にリコールを届け出ている(NHTSAの報告書: PDF、 Mashableの記事、 The Vergeの記事、 SlashGearの記事)。

問題は事故時の自動通報に関するものだ。衝突の際に通信モジュールへの電源供給が一時途絶えてリセットされると、eCallシステムが作動した時点の位置ではなく、最後のイグニッションサイクルが発生した位置を登録してしまう可能性があるという。リコール開始は4月6日で、2016年式～2021年式のCLA/GLA/GLE/GLS/SLC/A/GT/C/E/S/CLS/SL/B/GLB/GLC/G各クラスが対象となる。ソフトウェアアップデートでの対応となるため、OTAでアップデートする場合は代理店へ持ち込む必要はないようだ。

すべて読む | ITセクション | テクノロジー | ソフトウェア | 電力 | バグ | IT | 交通 |

関連ストーリー：
ダイムラーが分社へ。高級車部門の名前はメルセデス･ベンツに 2021年02月05日
電気自動車に改造したアイスクリーム販売車、時速118.964kmで走行してギネス世界記録に認定される 2020年08月23日
ベンツオーナー向けスマホアプリで他人の個人情報が表示される不具合 2019年10月23日
メルセデス・ベンツ、ヘッドライトをプロジェクターにする「デジタルライト」技術を発表 2018年03月10日
メルセデス・ベンツ曰く、自律走行自動車は歩行者よりも乗客を優先して救うべき 2016年10月18日
増加するオプションに対応するため、人間の労働者を再び生産ラインに呼び戻すメルセデス・ベンツ 2016年03月01日

Android版で基本的な機能が約4か月間も動いていなかったとして問題となった新型コロナウイルス接触確認アプリ「COCOA」。平井デジタル改革担当相から、9月からはデジタル庁が開発を主導していくとする方針が示されていたが、デジタル庁設立より前に運営を厚生労働省から内閣官房に移行させる話が進んでいるようだ（日テレNEWS24、日経新聞）。

とりあえずは内閣官房のIT総合戦略室に移行させ、デジタル庁が設立される9月以降はそちらに移管させるという考えの模様。その理由として、厚労省にはデジタル技術に詳しい人材が少ないことが挙げられている。なおNHKの記事によれば、田村厚生労働大臣もAndroid版のユーザーで感染が確認された国会議員と面会する状況にあっても「COCOA」から通知が来ていなかったと報じられている（NHK）。

追記
平井デジタル改革担当相が12日に行った会見で、内閣官房主導での開発やアプリの改修については否定された（ITmedia）。米Appleと米Googleの共通通信規格が「1国1アプリ」「保健当局の開発」に限られていることから、デジタル庁への移管は難しいようだ。

すべて読む | ITセクション | 日本 | バグ | 医療 | 政府 |

関連ストーリー：
COCOAのような緊急アプリはデジタル庁で開発主導へ。平井デジタル改革担当相 2021年02月08日
COCOAのAndroid版に接触通知が送られない不具合。4か月間気がつかず 2021年02月04日
矛盾表示が指摘されていた接触確認アプリCOCOA、当初のバグ誤認説を改め修正版を配布 2020年09月25日
具体的な接触日が分からないiOS版のCOCOAでも日付が特定できる非公式サイト 2020年09月18日
COCOAで陽性者が「陽性登録」できない。理由はCOCOA登録用の処理番号が届かないから 2020年08月11日
接触確認アプリ「COCOA」にプッシュ通知とアプリ内の表示が真逆となる不具合が報告される 2020年08月07日

headless 曰く、

Slackが念のためパスワードをリセットするよう、一部のAndroid版アプリユーザーに電子メールで通知しているそうだ(Android Policeの記事)。

Android Policeが入手した通知の文面によると、昨年12月21日にAndroidアプリの一部のバージョンでユーザーの認証情報をデバイス内に平文で記録してしまうバグが導入されたのだという。Slackでは問題を1月20日に特定し、翌21日に修正。既に修正版を公開して影響を受けるバージョンはブロックしているが、念のためにパスワードのリセットを必須にしたと説明している。

通知にはパスワードリセット用の大きなリンクが添えられていたといい、Android Policeではフィッシング風と評しているが、フィッシングではなく本物であることをSlackに確認したそうだ。それでも心配ならリンクをクリックせず、自力でSlackのWebサイトに行ってパスワードをリセットすればいい。Slackでは複雑でユニークなパスワード設定を強く推奨するほか、他のサイトで同じパスワードを使用していた場合はSlackアプリのデータ消去を推奨している。

すべて読む | ITセクション | セキュリティ | バグ | 暗号 |

関連ストーリー：
ソースコード流出事件を受けて、GitHubの監視サービスがスタート 2021年02月02日
GitHub、内部向けSlackチャンネルでナチスへの懸念を示した従業員の解雇は誤りだったと謝罪 2021年01月19日
セールスフォースがスラックを買収。買収額は約2兆8900億円。共通の敵Microsoftに対抗 2020年12月02日
チャット/メッセージングアプリのリンクプレビュー機能に潜む問題 2020年10月30日
Linuxディストロ別のsnapトップ5、spotifyが人気 2019年09月23日
Slack、2015年の不正アクセスに関連してアカウントの約1％でパスワードをリセット 2019年07月21日
Microsoftが日常業務でSlackを使用禁止し、GitHub.comを非推奨にしているとの報道 2019年06月26日
Slack、米国の制裁対象国を数年以内に訪問したユーザーを多数凍結 2018年12月25日

新型コロナウイルスの接触確認アプリ「COCOA」のAndroid版に致命的な不具合があったことが判明した（厚生労働省、TBS NEWS、FNNプライムオンライン、Engadget）。

本来はCOVID-19陽性者と1m以内、15分以上の接触があった場合は接触通知が届くはずだったが、条件を満たしていてもアプリの利用者に通知が届いていなかった。この問題は2020年9月28日に行われたアップデート以降に発生していたという。

朝日新聞によると、iOS向けの不具合を修正したときに、時間、距離等のパラメーターを変更した。iOSの不具合は解消されたが、アンドロイドは濃厚接触があっても低いリスクと判定されてしまったそうだ。不具合の解消は2月中旬を予定しているとのこと（朝日新聞）。

あるAnonymous Coward 曰く、

新型コロナウイルスの接触確認アプリ「ＣＯＣＯＡ」に不具合が見つかり、少なくともアンドロイド版で去年の秋以降、感染者と接触した可能性のあるアプリの利用者に通知が届いていないことが関係者への取材でわかりました
とのこと。以前に、「接触の通知があったけど、アプリ上で接触が確認できないという問題」もあったのに、ちゃんと通知されるかすら確認していなかったのだろうか。

情報元へのリンク

すべて読む | ITセクション | 日本 | バグ | 医療 | IT |

関連ストーリー：
30、31日の横浜スタジアムでのコロナ対策に関する技術実証実験、入場数が実験の目標数に届かず 2020年11月02日
小池知事ら一都三県知事、海外入国者への「COCOA」利用義務化を要望 2020年10月19日
矛盾表示が指摘されていた接触確認アプリCOCOA、当初のバグ誤認説を改め修正版を配布 2020年09月25日
COCOA、バグ調査のため希望者が動作ログを送信できる機能を追加へ。10月に実装予定 2020年09月18日
具体的な接触日が分からないiOS版のCOCOAでも日付が特定できる非公式サイト 2020年09月18日
厚生労働省、COCOAで通知を受けた人はPCR検査などを受けられるすることを「検討中」 2020年08月20日
COCOAで陽性者が「陽性登録」できない。理由はCOCOA登録用の処理番号が届かないから 2020年08月11日
接触確認アプリ「COCOA」にプッシュ通知とアプリ内の表示が真逆となる不具合が報告される 2020年08月07日
新型コロナ接触確認アプリが感染確認に。インストール率が人口の6割でなくとも効果はある 2020年08月05日

先週リリースされた『Cyberpunk 2077』の公式MODツールに関する不具合が報告されています

A British security researcher has discovered this week that a recent security flaw in the Sudo app also impacts the macOS operating system, and not just Linux and BSD, as initially believed. From a report: The vulnerability, disclosed last week as CVE-2021-3156 (aka Baron Samedit) by security researchers from Qualys, impacts Sudo, an app that allows admins to delegate limited root access to other users. Qualys researchers discovered that they could trigger a "heap overflow" bug in the Sudo app to change the current user's low-privileged access to root-level commands, granting the attacker access to the whole system. The only condition to exploit this bug was that an attacker gain access to a system, which researchers said could be done by either planting malware on a device or brute-forcing a low-privileged service account. In their report last week, Qualys researchers said they only tested the issue on Ubuntu, Debian, and Fedora. They said that are UNIX-like operating systems are also impacted, but most security researchers thought the bug might impact BSD, another major OS that also ships with the Sudo app.

Read more of this story at Slashdot.