雨雲レーダーにスマートフォンのような角丸長方形の雨雲が映り込んだことがネットで話題となっていたそうだ。この画像は、gari@TKCさんがアップしたもので7月4日夜、長崎県の壱岐島沖をとらえたものであるという。同氏が調べたところ、別の天気予報の雨雲レーダーでもこの部分は同様の形であったそう。Withnews側で気象庁に問い合わせてみたところ、この特殊な影については、気象庁側でも把握していたとのこと（Withnews）。

気象庁が詳しく確認したところ、7月4日の午後7時頃から翌5日午前7時頃まで、種子島を中心とした半径400キロの範囲を観測するレーダーが、この影と似たものを断続的にとらえていたとしている。ただし、こうなった原因に関しては把握できていないそう。明確な点はレーダーの故障ではない点で、前後の状況から降水現象ではないものが映ってしまった可能性があるとしている。

すべて読む | ITセクション | 地球 | バグ | サイエンス | 宇宙 |

関連ストーリー：
秋田県の沿岸部で気象庁のレーダーが大雨の誤観測。原因は風力発電の風車を雨雲と誤認したためか 2020年08月20日
日米共同開発のGPM主衛星、2月に打ち上げへ 2014年01月04日
北京五輪ではロケット弾で雨雲を分散 2007年07月23日
ドップラー効果で集中豪雨を予想 2004年09月05日

headless 曰く、

Outlook で Uber のレシートメールなど複雑なテーブル (表) を含むメールを表示・返信・転送しようとすると応答しなくなる問題が発生しているそうだ (サポート記事、 The Verge の記事、 The Register の記事、 On MSFT の記事)。

この問題は最新チャネルのバージョン 2206 ビルド 15330.20196 以降に存在し、ベータチャネルと最新チャネル (プレビュー) の現行ビルドも影響を受けるという。Word でも同じ問題が発生するそうだ。修正プログラムはベータチャネルでのテストを近く開始する予定で、8 月 9 日の月例更新で最新チャネルへの提供も開始する計画とのこと。緊急の回避策が必要な場合向けには問題が発生する以前のビルドに戻す手順が紹介されている。

すべて読む | ITセクション | マイクロソフト | バグ | IT |

関連ストーリー：
Thunderbird 102.0がリリース。アドレス帳機能の強化などの大型アップデート 2022年06月30日
活動を再開したマルウェア「Emotet」の機能が進化 2022年06月15日
Vivaldi、メールクライアントのVivaldi メールやカレンダー、フィードリーダーを公開 2022年06月13日
Microsoft PowerToys、Outlook の PDF プレビューエラーの原因となる 2022年03月26日
米国内でのワクチン偽情報はロシアが拡散したとする説。自国製ワクチン流通拡大の意図か 2021年03月13日

カメムシの発生数は1年ごとに発生数が増減する傾向があるという。今年は増加傾向に当たる「表年」だという。加えて梅雨明けが早かったことも影響し、地域によっては過去10年で最も増加しているという。毎日新聞の記事によれば、「天気が良く雨が少ないと虫も病気になりにくく、気温が高いと生育も早くなる」と解説する。すでに24都道府県が農家向けの「カメムシ注意報」を発表しているようだ（毎日新聞、NHK、農業協同組合新聞、読売新聞）。

nemui4 曰く、

もしかして、今後二年おきにドンドン増えていく？

すべて読む | ITセクション | バグ | 変なモノ | IT |

関連ストーリー：
今年は蛾も大量発生。果実や秋冬野菜への被害が予想される状況に 2020年08月18日
日本ではバッタではなくカメムシが全国に大量発生。今年は果物が高くなるかも 2020年07月18日
タガメ、希少動物として規制対象に 2020年01月22日
吸排気口がテープで塞がれた販売機、虫対策のためか 2019年08月26日
新幹線ポイント故障、原因は虫 2010年09月06日

headless 曰く、

米昆虫学会 (ESA) は 7 月 25 日、オオスズメバチ (Vespa mandarinia) の一般名を「northern giant hornet」として昆虫及び関連生物の一般名リストに登録した (プレスリリース、 Mashable の記事、 GeekWire の記事)。

新しい名称は昨年 ESA が導入した一般名に関するポリシーに従ったものだ。オオスズメバチはアジアからの外来種であり、これまで「asian giant hornet」「murder hornet」などと呼ばれていたが、ポリシーでは特に侵略的外来種について地理的な場所を示す名前の使用を非推奨としている。

また、同じくアジアからの外来種で V. mandarinia と極近縁の V. soror は「southern giant hornet」という一般名、ツマアカスズメバチ (V. velutina) は「yellow-legged hornet」という一般名でリストに追加された。「northern」「southern」はアジアでの 2 種の分布範囲を示すものだ。

すべて読む | ITセクション | バグ | サイエンス |

関連ストーリー：
ドローンを使いスズメバチを吸引、巣を破壊する実証試験 2021年12月23日
米昆虫学会、昆虫2種の「ジプシー」を含む一般名を廃止 2021年07月13日
スズメバチの攻撃を防ぐため、巣の入り口に動物の糞を貼り付けるベトナムのミツバチ 2020年12月12日
米ワシントン州農務省、捕獲したオオスズメバチに無線追跡装置を装着して巣の発見・駆除に成功 2020年10月27日
米国に外来種のオオスズメバチが上陸、養蜂家や蜂による受粉を行う農家は警戒 2020年05月08日
太陽光発電するスズメバチが確認される 2010年12月26日

Atlassian の Questions for Confluence アプリでハードコードされた認証情報使用の脆弱性が確認されたそうだ (セキュリティアドバイザリー、 Jira、 Neowin の記事、 CVE-2022-26138)。

Questions for Confluence はコラボレーションツール Confluence に Q&A 機能を追加するアプリ。脆弱性のあるバージョン (2.7.34 / 2.7.35 / 3.0.2) を Confluence Server または Data Center で有効にすると、パスワードがハードコードされた「disabledsystemuser」という名前のユーザーを confluence-users グループに作成するという。そのため、ハードコードされたパスワードを知るリモートの攻撃者は、これを悪用してログインし、confluence-users グループのユーザーのアクセスが認められたすべての情報へアクセス可能になる。

脆弱性はバージョン 2.7.38 / 3.0.5 で修正されており、アップデートすればアカウント disabledsystemuser が作成されなくなるほか、作成済みの場合は削除される。ただし、Confluence が Atlassian Crowd など読み取り専用の外部ディレクトリを使用する構成になっている場合、外部ディレクトリからユーザーを手作業で削除する必要があるとのことだ。

すべて読む | ITセクション | セキュリティ | バグ |

関連ストーリー：
北米で主要な病院の 80 ％ が使用する気送管システムに脆弱性 2021年08月05日
ZOLLの除細動器管理ソフトウェア、リモートからの任意コード実行など6件の脆弱性が公表される 2021年06月19日
タスク管理ツール「Trello」を公開設定で使っている企業が多数見つかり漏洩騒ぎに 2021年04月06日
フィリピン保健庁運営の医療従業者向けコロナアプリ、APIのURL直打ちで個人情報が見れる状態に 2020年11月16日
製品のセキュリティ問題で米連邦通信委員会と和解したD-Link、長期の監査を命じられる一方で不正は認められなかったと歓迎 2019年07月07日
Lenovoのファイル転送アプリケーション「SHAREit」に複数の脆弱性 2016年01月29日
ZTEのADSLモデム「ZXV10 W300」ではtelnetの認証情報がハードコードされていた 2014年02月06日

読売新聞の記事によれば、沖縄県西表島に近い黒島などで絶滅危惧種のアオウミガメが近年急増中だという。この影響で石垣島と西表島周辺海域でしか生息していないこちらも絶滅危惧種の海草・ウミショウブが食い荒らされてしまうという問題が発生しているとのこと。このため環境省はアオウミガメの食害対策を盛り込んだ計画を策定することになったという（読売新聞、西表在来植物の植栽で地域振興を進める会、西表島の藻場保全）。

アオウミガメの黒島での生息数は2010年段階では約200頭だった。ところが2019年には約400頭と倍増しているそうだ。国内最大の産卵地である小笠原諸島でも同様の傾向があり、「小笠原海洋センター」によると、1984年の5000匹弱から2015年には5万匹を超えるまで増えたとしている。アオウミガメが急増した背景には、捕食者であるサメが漁協によって駆除されるようになったことも一因であるようだ。

すべて読む | ITセクション | 地球 | バイオテック | バグ | IT |

関連ストーリー：
ミツバチは魚である 2022年06月10日
東京海洋大、死後の魚から子孫を作る技術 2022年04月15日
成田空港の滑走路にカメが侵入、ウミガメデザインの全日空機など5便に遅れ 2021年09月29日
ミナミジサイチョウ捕獲される 2021年06月07日
ツシマヤマネコの人工繁殖に国内初の成功。横浜ズーラシア 2021年03月30日
マツタケとヤシガニ、絶滅危惧種に指定される 2020年07月10日
人間が消えたビーチでウミガメの繁殖が増加 2020年04月23日
オーストラリア、温暖化でウミガメの99％がメスになる 2018年01月18日

Apple M1 チップのポインタ認証を迂回する攻撃「PACMAN」が可能な脆弱性を MIT CSAIL の研究者が発見したそうだ (ニュースリリース、 VentureBeat の記事、 9to5Mac の記事、 Phoronix の記事)。

ポインタ認証ではポインタ認証コード (PAC) でプログラムが改変されていないことを確認することにより、ソフトウェア脆弱性があっても悪用した攻撃を防ぐことが可能だ。しかし、PACMAN 攻撃では推測した PAC の値が正しいかどうか、ハードウェアのサイドチャネルを用いて確認できるという。確認は正解になるまで何度でも実行可能で、投機実行の中で行われるため攻撃の痕跡も残らないとのこと。

PACMAN 攻撃はハードウェアのメカニズムを利用するため、ソフトウェアパッチで修正することはできない。ポインタ認証は主にカーネルの保護で使われており、研究チームはカーネルに対する PACMAN 攻撃が可能なことも確認している。ただし、攻撃はソフトウェア脆弱性と組み合わせる必要があることから、現時点で緊急に注意を要する事態にはなっていないとのことだ。

研究チームは脆弱性を Apple に伝えており、研究成果を 6 月 18 日に International Symposium on Computer Architecture (ISCA) で発表する予定だ。なお、M2 チップで PACMAN 攻撃が可能となるかどうかはまだ確認されていない。

すべて読む | ITセクション | ハードウェア | セキュリティ | バグ | アップル |

関連ストーリー：
Apple、新 M2 チップと M2 チップを搭載する新 MacBook Air などを発表 2022年06月08日
AMD のシェア、x86 CPU 市場全体で 30 % に近付く 2022年05月15日
Google、Tensor プロセッサーを搭載する Pixel 6a を発表 2022年05月13日
M1Macで動く「Asahi Linux」のパブリックアルファ版が公開 2022年03月25日
M1 Ultra の GPU パフォーマンス、GeForce RTX 3090 を上回ることはない 2022年03月23日
Mac 上の Chrome 99、Speedometer で他のどのブラウザーよりも高いスコアを獲得 2022年03月09日
「Apple M1」開発責任者がIntelに転職 2022年01月11日
MI Mac Miniでチャタリング類似現象発生 2021年11月16日
M1 MacにThunderbolt 3接続のディスプレーを接続すると外付けSSDの速度が向上する 2021年11月05日
Apple M1プロセッサに設計上の脆弱性が見つかる 2021年05月31日
Apple、M1 Macで再インストール時にエラーが発生した場合の対処法を公開 2020年11月26日
Linus Torvalds曰く、M1 Mac絶対欲しい……Linuxが動くなら 2020年11月25日
Apple曰く、M1 MacでWindowsが実行できるようになるかどうかはMicrosoft次第 2020年11月23日
Apple、M1チップとM1チップ搭載MacBook Air/13インチMacBook Pro/Mac miniを発表 2020年11月11日
Google パックマンの経済損失は 480 万人時 2010年05月27日

headless 曰く、

Fitbit アプリに搭載されている食事記録機能で、栄養価表示が完全に壊れているようだ (Fitbit Community Forum 投稿、 9to5Google の記事、 Android Police の記事)。

Fitbit フォーラムの最初の報告者によると、問題は最近の更新以降発生するようになったという。別のユーザーが数日後に修正されたとの報告をスクリーンショット付きで投稿したが、問題が解決していないとの投稿がその後も相次いだ。

極端な例をスクリーンショットから抽出すると、脂肪 3,832 g やコレステロール 8,185 mg、カリウム 420,892 mg、炭水化物 20,970 g、砂糖 11,836 g、たんぱく質 6,810 g、ビタミンA 1,697,858 mg など。ユーザーの入力が間違っていないとすれば不正確というレベルではなく、でたらめな感じだ。

Fitbit のモデレーターによれば食事記録機能全般で問題が発生しているとみられるとのことで、調査が進められているようだ。

すべて読む | ITセクション | ソフトウェア | バグ | 変なモノ | IT |

関連ストーリー：
政府、スマートフォン用OSの実態調査に着手。独占的な地位を利用していないかなど 2021年07月07日
スマートウォッチのいびき検出機能、使いたい？ 2021年05月30日
Wear OSとTizenの統合が発表される。Wear OSが機能強化へ 2021年05月19日
Pebbleスマートウォッチ延命プロジェクト、ソフトウェア開発者への資金援助プログラム「Rebble Grants」を発表 2020年09月10日
ウェアラブル端末で新型コロナの初期症状を検知する研究。スタンフォード大学 2020年07月31日
フィットネストラッカーの「ヒートマップ」で軍事拠点の情報が公開されるとして問題に 2018年01月31日

茨城県常陸太田市幡町の住宅団地「四季の丘はたそめ」に整備した下水道が、処理能力が足りずにあふれるおそれが出ているそうだ。この下水道は4月8日に使用を始めたばかりだった。現在はバキューム車で抜く緊急対策を行っている（常陸太田市リリース、茨城新聞、NHK、茨城新聞その2）。

同市は29日に同団地で住民説明会を開いた。それによれば、工事発注内容や事業者への指示などが不適切だったことが原因だったという。具体的には実際の人口より3分の1以下の人口で計画してしまった上、既設の処理施設の処理量の実測をしないなどのミスが生じていた模様。一時的な対処方法として自治会所有の処理施設を借用し、6月1日から浄化を始める予定としている。

pongchang 曰く、

計画上の処理人口について、「四季の丘はたそめ」の実際の人口（当時約 2,700 人）ではなく 708 人の増加にとどめ、「四季の丘はたそめ」からの下水道管の汚水流出量を0.006 立米／秒とした。
マンホールポンプの能力を設定するうえで、不明水（雨水等の流入）の検討が必要であることを認識し，市は当該調査を別途行う前提で事業者と調整していたものの，その後，具体対応をとっていなかった。（pdf）

すべて読む | ITセクション | ハードウェア | ニュース | バグ | IT | 政府 |

関連ストーリー：
下水管から京都・鴨川へ大量の赤い液体が流入。原因は管に木が詰まったことによる誤作動 2021年01月08日
東京都下水道局の「水面制御装置」が話題。河川に流れるゴミの流出を抑制 2020年07月21日
大便として排出された新型コロナウイルスを下水中からサンプリングして流行状況を調査する試み 2020年05月15日
「トイレに流せる」製品の基準作り問題 2020年03月06日
東京五輪・オープンウォータースイミングおよびトライアスロン会場の水質に懸念 2019年08月14日

headless 曰く、

日本では「スキンガード」ブランドで展開する SC Johnson の虫よけ製品「OFF!」のウェブサイトで、米国の地域別に 1 週間分の蚊の発生予報を表示できる「OFF!Cast Mosquito Forecast」が公開された (The Keyword の記事)。

OFF!Cast Mosquito Forecast は SC Johnson が Google Cloud および Climate Engine と提携して開発したもので、米国本土の ZIP コード (アラスカ州とハワイ州を除く) を入力することで該当地域の蚊の発生予報を 1 週間分表示できる。ZIP コードを指定してサインアップすれば、地元の蚊の発生予報を毎週受け取ることも可能だ。発生する蚊の個体数を予測・公開するテクノロジープラットフォームは世界初だという。

蚊の発生数を予測するモデルは、蚊のライフライクル情報と詳細な気象データ、VectorBase が 5,000 か所以上で収集した蚊の個体数情報という 3 つのインプットを組み合わせたものだ。アラスカとハワイも対応に向けて開発を進めているが、アラスカでは気象データに調整が必要であり、ハワイでは異なる蚊の種類への対応が必要なため、もうしばらく時間がかかるとのことだ。

すべて読む | ITセクション | バグ | サイエンス |

関連ストーリー：
筑波大学ら、蚊の発育を停止させるフラボノイドを発見 2022年04月16日
第一石鹸、エープリルフールネタの猫もうっとり 「またたび入り柔軟剤」を試作 2022年04月12日
WHO、マラリアワクチンを初承認 2021年10月09日
米CDC、2020年に最も読まれたグローバルヘルス記事の主題はハマダラカ 2020年12月26日
GoogleやFacebook、Alibaba、BaiduなどIT企業とNGOが野生生物の違法取り引き撲滅に向けて連合 2018年03月10日
米FDA、遺伝子操作したネッタイシマカの放出実験による環境への重大な影響はないとの最終判断 2016年08月10日
光学顕微鏡写真のコンテスト「Nikon Small World」2010 年度受賞者発表 2010年10月19日

4 月下旬にオプションの更新プログラム (リリース C) として Windows 11 バージョン 21H2 に配信された KB5012643 (ビルド 22000.652) で問題が確認され、既知の問題のロールバック (KIR) による対処が行われたそうだ (Windows 11 の既知の問題と通知、 BetaNews の記事、 Softpedia の記事、 On MSFT の記事)。

影響を受けるのはネットワーク接続無効のセーフモードで、画面がちらついたり、explorer.exe の動作が不安定になったりすることがあるというもの。ネットワーク接続を有効にしたセーフモードでは発生しないという。

KIR による解決策はネットワークに接続した非マネージドデバイスに自動で適用される。適用には最大 24 時間を要することもあるが、解決策の提供が始まったのは 4 月 29 日のため、普通に使用している環境であれば既に適用されているとみられる。また、今後新たに KB5012643 をインストールする場合は当初から問題が解決済みの状態になる。マネージドデバイスでは特別なグループポリシーをインストールして有効化する必要がある。

すべて読む | ITセクション | アップグレード | バグ | Windows | IT |

関連ストーリー：
Windows11 の要件を満たさないデバイスのウォーターマーク表示、リリースプレビューから消える 2022年03月31日
Microsoft、Windows 10の [ニュースと関心事項] のテキストがぼやける不具合を修正 2021年06月23日
Microsoft、4月の月例更新でWindows 10 2004/20H2に発生していたゲームのパフォーマンス低下を修正 2021年04月27日
Microsoft、Windowsの更新プログラムで問題の発生した部分だけをロールバックできる「Knows Issue Rollback」の仕組みを解説 2021年03月07日
Windows 11 の更新プログラム、.NET 3.5 アプリが動作しなくなる可能性も 2022年05月06日

三井住友銀行で 4 月 30 日 17 時 35 分ごろから同行本支店 ATM での他行カード・クレジットカード取引などが利用しにくくなる事態が発生していたが、5 月 1 日 10 時ごろまでに復旧したそうだ(NHK ニュースの記事、 読売新聞オンラインの記事、 東京新聞の記事、 同行公式アカウントのツイート)。

不具合の原因は勘定系と ATM チャネル間のシステム接続が不安定になったためだといい、障害箇所を特定して回避したとのこと。利用しにくくなっていたサービスは同行本支店 ATM での他行カード・クレジットカード取引のほか、コンビニ ATMでの同行カード・クレジットカード取引、PayPay 等への入金チャージ、SMBC デビットカード、公営競技投票だという。

なお、本件に関しては同行サイトのトップページで告知されているが、コンテンツブロッカーにブロックされることもあるようだ。内蔵コンテンツブロッカーがデフォルトオンの Brave はオフにしない限り告知がブロックされる。Vivaldi と Opera はデフォルトオフだが、告知が表示されるのは Vivaldi のみだった (※)。

※ 追記: 目的は不明だが、User Agent 文字列を見て告知を表示するかどうか決めているらしい。Opera でも開発者ツールで User Agent に Chrome / Edge / IE11 / Firefox / Safari のいずれかを指定すると告知が表示されるようになった。

すべて読む | ITセクション | 日本 | ネットワーク | バグ | IT | お金 |

関連ストーリー：
みずほFG、今は障害認知から1時間以内に対応できる 2022年04月28日
地銀8行とローソン銀行でATMやネットバンキング停止、IBMの地銀向けシステムで電源障害 2022年03月28日
みずほ銀行と他の金融機関を比較する記事。安定稼働対策に差 2022年03月15日
ゆうちょ銀行の硬貨取扱手数料の導入前、駆け込み需要でATM故障が発生 2022年01月24日
みずほ銀行で法人向けのネットバンキングに障害。今年初（追記アリ） 2022年01月11日
みずほ銀行、12月30日に一時振り込みができなかった不具合。21年では9度目 2022年01月05日

headless 曰く、

Appleは22日、「Apple Watch Series 6 の画面に何も表示されなくなる問題に対する修理サービスプログラム」を開始した (サポートページ、 9to5Mac の記事、 Mac Rumors の記事)。

この問題はごく一部の Apple Watch Series 6 (40mm) の画面が真っ黒になって何も表示されなくなり、元に戻らなくなる可能性があるというもので、2021 年 4 月から 2021 年 9 月の間に製造されたデバイスで確認されているという。

本プログラムの対象になるかどうかはサポートページにシリアル番号を入力すれば確認できる。対象となる場合は Apple 正規サービスプロバイダおよび Apple Store 直営店で修理サービスを受けるほか、Apple サポートを通じて Apple リペアセンターへの配送修理の手配を依頼することも可能だ。

すべて読む | アップルセクション | バグ | アップル |

関連ストーリー：
Apple のセルフサービス修理プログラム、どうなった？ 2022年04月12日
Google も iFixit と提供して Pixel スマートフォンのスペアパーツを提供 2022年04月10日
米非営利組織によるノート PC と携帯電話の修理しやすさスコア、Apple が他を圧倒する低さに 2022年03月11日
「Apple サポート」アプリ、一般的な修理オプションの見積額表示機能が一部の国や地域で利用可能に 2022年02月18日
修理する権利を促進するジョー・バイデン米大統領、Apple と Microsoft の変化に言及 2022年01月30日

headless 曰く、

Microsoft は 14 日、Microsoft Dynamics 365 と Power Platform の報奨金プログラムおよび、M365 の報奨金プログラムにシナリオベースの報奨金を追加すると発表した (Microsoft Security Response Center の記事、 Softpedia の記事)。

シナリオベースの報奨金は影響が大きな特定のシナリオにおける脆弱性の発見に対し、報奨金を上乗せするものだ。Microsoft Dynamics 365 と Power Platformの報奨金 プログラムでは、テナント間情報漏洩のシナリオに最高 2 万ドルの報奨金が設定されており、M365 の報奨金プログラムではコードインジェクションによる信頼できない入力を通じたリモートからのコード実行シナリオにボーナス最高 30 % など、複数のシナリオで報奨金の 15 % ～ 30 % のボーナスが上乗せされる。

すべて読む | セキュリティセクション | セキュリティ | マイクロソフト | バグ | お金 |

関連ストーリー：
Microsoft の報奨金プログラムに不満なセキュリティリサーチャー、Windowsのゼロデイ脆弱性の PoC を公開 2021年11月28日
Microsoft Teams、サブドメイン乗っ取りの脆弱性を悪用してユーザーアカウントの乗っ取り可能な問題を修正 2020年04月29日
Microsoftのサブドメイン、670件以上が乗っ取り可能な状態との調査結果 2020年03月07日
ビル＆メリンダ・ゲイツ財団、1年間の有給育休制度を縮小へ 2019年03月28日
Windowsのタスクスケジューラのゼロデイ脆弱性が公表される 2018年08月30日
Microsoft、ユーザー認証サービスの脆弱性に関する報奨金プログラムを開始 2018年07月21日

CCleaner ではインストールディレクトリにアプリとは無関係なファイルが格納されていても、アンインストール時に削除してしまうという問題があり、Avast が修正作業を進めているそうだ (BetaNews の記事、 CCleaner Community Forums のスレッド)。

多くのアンインストーラーはインストールディレクトリにアプリと無関係なファイルがあれば削除しないが、CCleaner のアンインストーラーは無視してインストールディレクトリごと削除してしまう。そのため、既存ディレクトリをインストール先に指定した場合など、他に何が格納されていてもアンインストール時にはすべて削除されることになる。インストール先をカスタマイズした際に専用のサブディレクトリが作成されない点が問題だとする指摘もみられるが、これは多くのインストーラーで一般的な動作であり、特に問題視することはないと思われる。

一方、最近の報告では「D:\Applications\CCleaner」にインストールした CCleaner をコントロールパネルからアンインストールしたところ、「D:\Applications」の内容がすべて削除されたという。事実とすれば深刻な問題だが、手元の環境で試してみた限りは再現しなかった。CCleaner を「D:\Applications」にインストール・アンインストールすると Applications ディレクトリごと削除されるが、「D:\Applications\CCleaner」へのインストール・アンインストールで削除されるのは CCleaner ディレクトリのみだった。

すべて読む | ITセクション | ソフトウェア | バグ | IT |

関連ストーリー：
CCleaner、Microsoft Store に登場 2022年01月13日
CCleaner最新版で一部機能を削除。空きスペースを復元不能にする機能が空きスペース以外も消去という報告が出たため 2021年03月30日
CCleanerがFirefox 79の拡張機能データファイルを一部Webキャッシュとして削除する問題 2020年08月08日
Microsoft曰く、CCleanerの特定バージョンのインストーラーは望ましくない可能性のあるアプリ 2020年08月02日
Avast、サプライチェーン攻撃を受けていたことを公表 2019年10月24日
Microsoftコミュニティ、投稿から非表示にするWebサイトのブラックリストが存在する？存在しない？ 2019年09月28日
「CCleaner」に混入されたマルウェアは特定企業を狙った標的型攻撃だった 2017年09月26日
Piriformが32ビット版CCleanerのマルウェア感染を発表、最新版への更新を呼び掛け 2017年09月20日
AvastがPiriformを買収 2017年07月22日
MicrosoftのGov Maharaj氏、CCleanerについてはコメントしづらい 2015年10月12日
OneCareがOutlookのメールフォルダを間違って削除 2007年03月10日

VMwareは3月31日にJavaアプリケーションフレームワーク「Spring Framework」に脆弱性「CVE-2022-22965」が存在すると発表した。悪用された場合、第三者によるリモートコードが実行される可能性がある。これらは通称「Spring4Shell」または「SpringShell」と呼ばれているという。脆弱性の深刻度は「Critical」。共通脆弱性評価システムCVSS v3のスコアは「9.8」（VMware、JPCERT/CC、INTERNET Watch、Security NEXT）。

脆弱性の対象となる Spring Framework のバージョンはSpring Framework versions 5.3.0から5.3.17、同じく5.2.0から5.2.19となっている。また攻撃を成功させるためには、JDK 9以上を使用している、pache Tomcatをサーブレットコンテナとして使用している、WAR形式でデプロイされている、プログラムがspring-webmvcあるいはspring-webfluxに依存しているなどの条件が揃う必要があるという。VMwareでは脆弱性に対処した「Spring Framework 5.3.18」「同5.2.20」を公開した。JPCERT/CCは、十分なテストを実施の上で適用するよう促している。

またこの直前となる29日にSpring Cloud Functionのバージョン3.1.6および3.2.2とサポートが終了している古いバージョンで、ルーティング機能を有効にしている場合に細工された「SpEL」によって、ローカルリソースへのアクセスを許容してしまう脆弱性「CVE-2022-22963」があるとのことも報告されている（Vmware、ZDNet）。

すべて読む | セキュリティセクション | セキュリティ | バグ | Java | IT |

関連ストーリー：
zlib に 17 年前から存在し、4 年前から放置されていた脆弱性が修正される 2022年04月04日
Chromeがついにバージョン100に到達 2022年03月31日
ホンダ・シビックのキーレスシステムを乗っ取り可能な脆弱性 2022年03月28日
Chromium 系ブラウザー、相次いで緊急アップデート 2022年03月27日
node-ipcメインテナー、ロシアとベラルーシのホストシステムのファイルを上書きするコードを追加 2022年03月22日
log4j問題等を受け、米政府がGAFAやApacheらを集めたOSSセキュリティサミットを開催 2022年01月18日
ハッキングコンテスト「Pwn2Own」で狙われたEdge、仮想マシン内のEdgeからホストにアクセスできる攻撃も行われる 2017年03月24日
Intel CPUに脆弱性が発見される。64ビットOSや仮想化ソフトに影響 2012年06月19日
ディスクワイプも免れるBIOS攻撃手法 2009年03月26日

headless 曰く、

zlib に 17 年前から存在し、4 年前に報告されたものの放置されていた脆弱性が修正された (The Register の記事、 Tavis Ormandy 氏の oss-security メーリングリスト投稿)。

この脆弱性はメモリ破損の脆弱性で、離れた位置の一致を多数含むファイルを圧縮しようとした場合に出力結果が破損するというもの。4 年前に 13 年前の zlib 1.2.2.2 から存在する脆弱性として報告されてパッチもコミットされていたが、このパッチがリリース版に含まれることはなく、今回 Google Project Zero の Tavis Ormandy 氏が再発見するまで CVE 番号さえも割り当てられずに放置されていた。今回の再発見を受け、2018 年に報告された脆弱性を示すCVE番号 CVE-2018-25032 が 3 月 25 日に割り当てられ、zlib 1.2.12 で修正されている。

すべて読む | ITセクション | オープンソース | セキュリティ | バグ |

関連ストーリー：
Microsoft、クラウド向けデータ圧縮アルゴリズムをオープンソース化 2019年03月20日
7-Zipで任意コード実行が可能となる2件の脆弱性 2016年05月15日
新たなデータ圧縮アルゴリズム「LZHAM」 2015年01月27日
Google、オープンソースソフトウェアの脆弱性修正にも報奨金を提供 2013年10月13日
6月末リリース予定のFirefox 22は一部のJavaScriptコードを高速に実行させる「asm.js」を搭載 2013年03月26日
VMware、Spring Frameworkに深刻な脆弱性「CVE-2022-22965」を発表。修正は公開済み 2022年04月05日

headless 曰く、

ホンダ・シビックのキーレスシステムを乗っ取り可能な脆弱性が発見された (CVE-2022-27254、 The Register の記事、 BleepingComputer の記事、 発見者の GitHub リポジトリ)。

この脆弱性はドアの開閉時に送信される無線信号が暗号化されていないため、車の近くにいる攻撃者が信号を記録して後で再生するリプレイ攻撃が可能というものだ。影響を受けるのは 2016 年 ～ 2020 年のシビック LX / EX / EX-L / Touring / Si / Type Rとされるが、ホンダ車では同様の脆弱性が過去にも見つかっており (CVE-2019-20626)、さらに多くの車種が影響を受ける可能性もある。

ホンダは BleepingComputer に旧モデルの修正予定はないと述べており、近くにいる攻撃者はハイテクな方法を使わなくても車にアクセス可能だとも述べているという。発見者は緩和策として、ファラデーポーチにキーフォブを入れる、RKE (remote keyless entry) の代わりに PKE (passive keyless entry) を使うなどの方法を紹介している。なお、既に攻撃者が信号を読み取って車へのアクセスが可能になっている場合、ディーラーに持ち込んでキーフォブをリセットしてもらうしかないとのことだ。

すべて読む | セキュリティセクション | セキュリティ | 通信 | バグ | IT | 交通 |

関連ストーリー：
複数メーカーの自動車のイモビライザに脆弱性、RFIDリーダーを使って暗号鍵を推測可能 2020年03月12日
三菱自動車のアウトランダーPHEVでリモートコントロール機能にセキュリティ上の問題 2016年06月09日
24車種にキーレスエントリーの脆弱性があることが判明。電波増幅するシステムを悪用 2016年03月26日
キーレスエントリー装備の自動車のドアを解錠する謎の小型装置、米国の監視カメラでその存在が明らかに 2013年06月11日
EV 版インフィニティに Intel の Atom 搭載 2012年04月11日