Googleがスマートフォン向けGoogleアプリで「ユーザーが関心を持つトピック」をホーム画面に表示するアップデートを行った（Googleの発表、TechCrunch）。今後Google検索（google.com）のトップページでも同様に情報を表示する変更を行う予定だという。

表示されるコンテンツはユーザーがGoogleの各サービスを利用した履歴をベースに選択されるという。たとえばGoogleカレンダーに入力した予定に基づいてその近隣の情報を表示したり、YouTubeでの閲覧履歴に従って関連するアーティストの情報を表示する、といった感じのようだ。

あるAnonymous Coward 曰く、

Mozillaが現在、声の寄付を募集している。将来的に音声認識アプリケーションを構築する最初の一歩だという（Mashable、ZDNet、Slashdot）。

スタートしたプロジェクトの名前は「Common Voice」といい、一般からオーディオサンプルを約10万時間集めてオープンに利用可能にできるようにするのが目標。音声認識アプリケーションの実現には十分な大きさのデータベースが必要で、それには大量の音声ファルが必要であるということらしい。Mozillaでは、音声をテキストに変換してプログラミングを行えるようなものを作りたいと考えているようだ。

headless曰く、

Microsoftは21日、Windows 10 Fall Creators Updateで削除または非推奨となる機能のリストを公開した。海外メディアでは「ペイント（mspaint.exe）」が「非推奨」になったことに注目が集まっているようだ（Microsoftサポート技術情報、The Guardian、The Verge、BetaNews）。

非推奨の機能は現在アクティブに開発が行われていないもので、将来のリリースでは削除予定とされる。このほか、リストアップされているのは以下のような機能だ。各機能の名称は可能な限り日本語化したが、Windows上での表記とは違うものがあるかもしれない。お気づきの点があればご指摘いただきたい。

• 削除
  • 3D Builder
  • Apndatabase.xml
  • EMET
  • Outlook Express
  • リーダー
  • Windowsリーディングリスト
  • テーマのスクリーンセーバー機能
  • Syskey.exe
  • TCPオフロードエンジン
  • Tile Data Layer
  • TPM所有者パスワード管理
• 非推奨
  • 同期の設定
  • IIS 6管理互換性
  • IISダイジェスト認証
  • ペイント
  • IIS用のRSA/AES暗号化
  • システムイメージバックアップ（SIB）
  • TLS RC4暗号
  • TPM.mscおよびTPMリモート管理
  • TPMリモート管理（レガシーコード）
  • System Center Configuration Managerを使用したWindows Hello for Businessの展開
  • Windows PowerShell 2.0

中には「リーダー」アプリのようにWindows 10の標準ではインストールされていないものや「リーディングリスト」アプリのようにWindows 10 Mobileにのみ対応しているものもある。また、「Outlook Express」のように既に機能していないレガシーコードを削除するといったものや、新機能/新バージョンで置き換えられるものもある。EMETは2018年7月のサポート終了に先立って実行がブロックされるため、Windows Defenderセキュリティセンターに追加されるExploit Protection（Windows 10 Insider Previewビルド16241日本語版では「悪用保護 」となっている）の使用を検討すべきとのこと。なお、SMBv1がデフォルトで無効になる点については触れられていない。

ペイントが削除されることは大きな話題となり、これを受けてMicrosoftはペイントをWindowsストアで提供する計画を明らかにした。その一方で、Windows 10 Creators Update以降で利用できる「ペイント3D」アプリにペイントの機能を取り入れていくとも述べている。この点はサポート技術情報にも追記された。

追記(by headless): 「非推奨」の位置がずれていたので修正。TPMのタイプミスも修正した。

9月19日にDNSSECで使用されるゾーン署名鍵の更新が行われるのだが、その影響でネットワーク関連のトラブルが発生する可能性があるとし、総務省が注意喚起を行っている（ITmedia、ZDNet Japan）。

DNSSECは、インターネット上における名前解決を行うDNSにおいて、電子署名を用いた信頼性検証を実現する技術。これを利用することで、本来意図していないサーバーに気付かずにアクセスさせるような攻撃を防ぐことができる。

DNSSECではゾーン署名鍵（ZSK）と鍵署名鍵（KSK）の2つの公開鍵が使われており、ZSKは3か月ごと、KSKは5年ごとに更新される（日経ITpro）。KSKの更新は今回が初めてとのことだが、この更新のタイミングでDNSSECで使われる「DNSKEY応答パケット」という公開鍵が含まれるパケットに新旧のKSKおよびZSKが含まれることで、パケットサイズが1400バイトを超えてしまい、ネットワーク環境によってはIPパケットの分割（IPフラグメンテーション）が発生する可能性があるという。これによってパケットを受け取れず、通信障害が発生する可能性があるという。

対応策としてはDNS関連のソフトウェアを最新版に更新しておく、「NDSSECのトラストアンカーの自動更新」を有効にしておく、IPフラグメントによる名前解決の失敗が発生しないかを事前に確認しておく、などが提案されている。

闇サイトと言われる、非合法な物品を販売していたサイト「AlphaBay」が米英仏などの当局によって摘発されたという（共同通信、産経新聞、Mashable）。

このサイトでは違法薬物や有毒な化学物質、各種偽造書類、銃器などが販売されており、20万人以上の顧客が利用していたそうだ。サイトの創設者はカナダ人で、この男性もタイで逮捕されたものの、その後拘留中に自殺したとのこと。

ロシアがVPNや匿名化プロクシの使用、匿名でのSNS利用を禁止する法案を可決した。「過激派の思想が広まるのを防ぐため」としているが、検閲との反発も大きいようだ（毎日新聞、時事通信）。

ロシアにおけるSNS規制についてはハフィントンポストの記事が詳しいが、規制を強化する政府の言い分としては、テロリストらはSNSなどを使って連絡を取り合っており、政府がその通信内容を傍受できないのは許せない、ということのようだ。

なお、ここで対象となるのは個人が検閲やアクセス制限を回避するためのVPNと思われるが、具体的な規制対象がどうなるのかは報じられていない。

あるAnonymous Coward曰く、

ドワンゴが運営・提供しているRSS Readerサービス「Live Dwango Reader」が8月31日でサービスを終了する（ドワンゴによる発表）。

このLive Dwango Readerは元々ライブドア社が行っていたサービス。2013年にGoogleがGoogle Readerのサービスを終了させたとき、日本人の多数ユーザが移行、しかし後中途半端にユーザ数が増えたもののマネタイズの道が少なく2014年一杯でLINEが終了を表明していた。しかし根強い利用者の声に対してサービス撤回を表明した後、ドワンゴに譲渡され、名前を「Live Dwango Reader」略してLDRに変更して続けられてきたが、いよいよ終了ということになってしまったようだ。

ドワンゴへのサービス譲渡当時、当時ドワンゴ所属の方が「初めてのM&A経験。理由は無くなると僕が困るから。」コメントしていた事が印象に残っているが、その方も既にドワンゴを退社され別のベンチャー所属とのことで、キーマンを失い、また買収後、大きなアップデートなどもなく終了である。

アレゲ諸氏におかれては、LDRの思い出や、移行するにおすすめのRSS Readerなどあれば是非語っていただきたい。

ドリームキャストで発売された異色のゲーム「シーマン」の開発者が、「シーマン人工知能研究所」を立ち上げた。「AIによる会話エンジン」の研究を行うという（ギズモード・ジャパン）。

シーマンは、画面内に登場する「人面魚」とマイクを使ってコミュニケーションを取れるというゲーム。このゲームでも音声認識機能は使われていたが、これを発展させて人工知能による日本語での会話を実現させることを目的としているという。なお、「シーマン」の名が冠されているものの、実際にこの技術を使った「シーマン」の新作が登場するかは未定だそうだ。

headless曰く、

Firefox 55と56では極端に多くのタブを開いた状態での起動時間が大幅に短縮されるそうだ。1,691個のタブを開いているというMozillaの開発者、Dietrich Ayala氏がテスト結果を公開している（The New Firefox and Ridiculous Numbers of Tabs、On MSFT）。

ここまで多くのタブを開いている理由は説明が難しいようだが、最近ではFirefoxを起動するのに数分を要していたという。テストではFirefox 20、30、40、50～56を使い、Wi-FiをオフにしたMacBookでページ読み込みエラーが表示されるまでの時間を測定している。Firefox 10も試してみたが、永遠に起動しなかったのでやめたそうだ。

起動時間はFirefox 20で1分半ほどだったのが、以降のバージョンでは分単位で長くなっていき、Firefox 51では8分近くかかっていたようだ。Firefox 52～54では改善されているが、それでも4～5分を要している。これに対し、Firefox 55では15秒で起動したとのこと。結果は棒グラフのみで具体的な数字は記載されていないが、Firefox 56の起動時間も同程度となっている。

また、起動から1分後のメモリー使用量はFirefox 20で1GB強だが、Firefox 30～54では２GB前後まで増加している。しかし、Firefox 55/56では500MB以下まで減少したそうだ。この時点で実際のWebページは読み込まれていないが、1.5GBの差は大きい。

この改善は数多くのタブを開いている場合の起動時間とメモリー使用量を減少させるため、4年前から検討されていたBug 906076の成果だという。Project Quantumのサブプロジェクト、Quantum Flowでも重要な成果として取り上げられている。

なお、2012年にWin64 Firefoxのナイトリービルド停止が決定した際、強い反対にあって継続することになったが、このときに数千のタブを開くためにWin64ナイトリービルドを利用するユーザーの存在が重要な理由として挙げられていた。

Twitter上に、有料ポルノサイトや偽の出会い系サイトへの誘導を行うようなボットネットが存在することが確認されたそうだ。このボットネットは約9万のアカウントから構成されており、女性の写真や名前を偽っていたという（ITmedia、ZeroFOX、Krebs on Security）。

これらのアカウントは「思わせぶり」な投稿を行い、こういった投稿にリプライすると有料のポルノサイトや偽出会い系サイトに誘導されてしまうという。このボットネットはギリシャ神話の海の怪物「SIREN（セイレーン）」から、「SIREN」と名付けられている。総投稿数は850万を超えており、また投稿されたリンクのクリック数は3000万以上だったという。

すでにTwitterへの通報が行われており、Twitter運営による対処が行われているとのこと。

danceman曰く、

サイバー脅威検知技術を提供するDarktraceが発表した「Global Threat Report 2017」（PDF）にて、インターネットに接続されたカジノの水槽がサイバー攻撃を受けていたことが明かされている。カジノの名前は明記されていないが、北アメリカに存在するという（CNN）。

この水槽は温度調整や水質調整、自動餌やりなどの機能を備えており、インターネット経由でこれらの設定や監視ができるというものだったようだ。このカジノではVPNを利用してこの水槽をほかのネットワークとは分離していたようだが、Darktraceが調査したところ不審なネットワーク通信が検出されたという。通信先はフィンランドで、10GBほどのデータが送信されていたほか、水槽が外部からコントロールできる状態になっていたようだ。

Darktraceによると、この水槽から脆弱性を持つほかのデバイスを探索していたことも確認されたという。ネットに接続して制御する電気機器の普及が進むにつれ、こうした手口のセキュリティー問題が増えてくるのだろう。

Yahoo! JAPANがWebブラウザ用ツールバー「Yahoo!ツールバー」のサービス終了を発表した（ASCII.jp）。

Yahoo!ツールバーのFirefox版については2015年12月に提供が終了していたが、Internet Explorer版については提供が継続されており、セキュリティソフトにマルウェアと誤判定されるケースもあった。

今回のサービスの終了は近年のインターネット利用環境の変化や、利用状況を踏まえたものとされている。また、現在Yahoo!ツールバーをインストールしている利用者に対してはアンインストールが推奨されている。

Ubuntu 18.04 LTSに標準搭載するデスクトップアプリケーションについて、CanonicalのDustin Kirkland氏が意見を募集している(Ubuntu Insightsの記事、 Phoronixの記事、 Softpediaの記事)。

Kirkland氏は3月、Ubuntu 17.10に関する要望をHacker Newsで募集しており、予想以上の成果が得られたようだ。CanonicalはUbuntu 18.04 LTSで標準デスクトップ環境をUnityからGNOMEに変更する方針を4月に発表しているが、これもHacker Newsで要望の多かったものであり、既にUbuntu 17.10のベータコードに含まれているという。

UnityからGNOMEへの切り替えに伴い、Canonicalは同梱するデスクトップアプリケーションの検討を行っているが、幅広い意見を取り入れるために意見募集を行うことにしたそうだ。

意見は記事をクロスポストしたHacker NewsやReddit、Slashdotでコメントとして受け付けることを想定していたようだが、その後Googleフォームから送信可能となった。1つのカテゴリーに複数のアプリケーションを指定する場合はカンマで区切って入力すればいい。FOSSでないアプリケーションは「Vivaldi , non-free」のように「, non-free」を付記、該当カテゴリーで完全にWebアプリケーションへ移行している場合、「Gmail-web」のように「-web」を付記してほしいとのこと。

ゲーム内キャラクターを倒すことでリモートからのコード実行が可能となるValveのSource SDKの脆弱性について、発見したOne Up Securityが解説している(One Up Securityの記事、 The Vergeの記事)。

脆弱性が存在するのは倒されたキャラクターに適用されるラグドールモデルの処理に関する部分だ。Source Engineではマップファイルにカスタムコンテンツを格納することでユーザーがマップにコンテンツを追加できる。ラグドールモデルファイルをオリジナルと同じリソースパスでマップファイルに格納すれば、オリジナルを置き換えることが可能となる。

ラグドールモデルのルールはトークン化して読み込まれるが、トークン化の際に適切な境界チェックが行われない。そのため、特別に細工したラグドールデータを読み込ませるとバッファーサイズを超えるトークンが生成され、バッファーオーバーフローが発生する。さらにsteamclient.dllではASLRが有効になっていないため、メモリーアドレスは予測可能だという。PoCは30日以内の公開が予告されており、Shell32.dllを読み込ませてcmd.exeを実行するものとのこと。

報告を受けたValveでは、Counter Strike: Global OffensiveやTeam Fortress 2、Half-Life 2: Deathmatch、Portal 2、Left 4 Dead 2などの修正を行い、パッチの提供を6月に開始している。

GNOMEのファイルマネージャー「GNOME File (Nautilus)」で任意のVBScriptコードを実行可能な脆弱性「Bad Taste」が発見された(発見者による解説記事、 The Registerの記事、 Neowinの記事、 Bleeping Computerの記事、 CVE-2017-11421)。

問題はWindowsの実行ファイル(.exe)やWindowsインストーラーパッケージ(MSIファイル: .msi)などのアイコンをGNOME File上で表示するために使われる「gnome-exe-thumbnailer」のバージョン0.9.4-2以前に存在し、Wineがインストールされた環境で再現する。また、GNOME Fileのほか、「Cinnamon Nemo」や「MATE caja」といったファイルマネージャーも影響を受けるとのこと。

バージョン0.9.4-2までのgnome-exe-thumbnailerはMSIファイルを処理する際、Wineが利用できる場合には一時ファイルとしてVBSファイルをテンプレートから生成し、スクリプトを実行して「WindowsInstaller.Installer」オブジェクトからファイルバージョンを抽出する。しかし、スクリプトにはMSIファイルのファイル名が記述されるため、VBScriptコードとして解釈可能なファイル名にすることで任意のVBScriptコードを実行可能になる。