パスワードを忘れた? アカウント作成

最新から新しい日記やタレこみを確認できますよ。

14264631 story
ソフトウェア

QualcommやMediatekのWi-Fiチップでも「KrØØk」に似た脆弱性が発見される 7

ストーリー by nagazou
大わらわ 部門より
あるAnonymous Coward 曰く、

ESETの研究者がQualcommとMediatekのWi-FiチップでもKrØØkに似た脆弱性が存在することを公表した。

KrØØkはBroadcom及びCypressのWi-Fiチップにおいて、接続解除後にチップ内の暗号化用鍵が消去されゼロとなるににもかかわらず、チップ内の送信バッファに残ったデータが鍵の消去後も送信され続けるため、結果として000...で暗号化されたデータが送信されてしまうという脆弱性(関連ストーリー)であり、様々なスマートフォンやWi-Fiアクセスポイントが影響を受けた。

今回ESETの研究者が発見した脆弱性の内、QualcommのWi-Fiチップを対象としたものは接続の解除時に平文のデータを送信させることが出来るというもので、D-Link DCH-G020とTurris Omniaで脆弱性の存在が確認されている。記事内では具体的なチップの型番は明らかにされていないが、D-Link DCH-G020はQCA9531、Turris OmniaはAR9287とQCA9880 v2が搭載されているため、これらのWi-Fiチップを採用している他のデバイスも影響を受ける可能性がある。

この脆弱性に関してQualcommが公表した情報によれば、特別に細工されタイミングが計られたトラフィックがWi-Fiチップ内でエラーを発生させ、正常でない暗号化が行われたデータが送信されることにより情報の漏洩が発生する可能性がある(CVE-2020-3702)とのことで、以下のチップが対象となる。

APQ8053, IPQ4019, IPQ8064, MSM8909W, MSM8996AU, QCA9531, QCN5502, QCS405, SDX20, SM6150, SM7150

これらのチップのうち、QCA9531は802.11n世代のWi-Fiアクセスポイント、QCA9880・IPQ4019・IPQ8064は802.11ac世代のWi-Fiアクセスポイントに多数採用されており、特にIPQ4019に関しては大半のメッシュ対応Wi-Fiアクセスポイントが使用しているため影響は広範に及ぶと思われる。

記事では、Qualcommは7月中に脆弱性の修正を含んだプロプライエタリなドライバをリリースしたが、いくつかのデバイスはFLOSS版のドライバを使用しており、それらのドライバに修正が提供されるかは不明であるとしている。

MediatekのWi-Fiチップについては記事内の情報が少なく具体的にどのような問題があるのかは定かではないが、いくつかのチップで暗号化の不足などの脆弱性があるとしている。影響を受けるデバイスとしてはASUS RT-AC52UとMicrosoft Azure Sphereが挙げられており、Microsoft Azure Sphereが使用するMT3620及び、ASUS RT-AC52Uが使用し、安価なWi-Fiアクセスポイントに多数採用されているMT7620を使用する他のデバイスも影響を受ける可能性がある。

ESETの記事によると、Mediatekは脆弱性の修正を3~4月にリリースしておりAzure Sphere OSの20.07にはこの修正が含まれているとしている。

これらの脆弱性を修正するには更新用のファームウェアをWi-Fiアクセスポイントのメーカーが提供する必要があり、QualcommやMediatekが修正をリリースしただけでは不十分であることに注意する必要がある。

情報元へのリンク

14263186 story
iOS

Apple曰く、すべてのアプリを個別に審査する必要があるため、クラウドからのゲーム配信は認められない 67

ストーリー by headless
審査 部門より
MicrosoftはXboxゲームをクラウドから直接ストリーミングでプレイ可能にするProject xCloudの提供を計画しているが、iOS版はTestFlightでのプレビュー期限とともに終了し、Android版に注力する考えを示している(GeekWireの記事Neowinの記事On MSFTの記事The Vergeの記事)。

App Storeではクラウドからゲームを配信するサブスクリプション型のサービスが認められないことが3月に話題となっているが、クラウドからのゲーム配信はApp Store Reviewガイドラインの3.1.2(a)に抵触するようだ。3.1.2(a)ではサブスクリプション提供するゲームがApp Storeから直接ダウンロードされることを必須としている。Project xCloudで提供されるゲームはiOSアプリではないため、App Storeからダウンロード可能にはならない。その結果、Android版のプレビューアプリはGoogle Playでのインストール件数が100万回を超え100タイトル以上がプレイ可能になっているのに対し、iOS版はTestFlightの制限もあってテスターは10,000人にとどまり、プレイ可能なタイトルは「Halo: The Master Chief Collection」のみだったという。

AppleはBusiness Insiderに対し、アプリはすべて個別に審査する必要があり、クラウドから提供されるゲームではそれが不可能だと述べている。一方、Microsoftは、Appleがクラウドゲーミングおよびゲームサブスクリプションサービスの消費者への提供を拒む唯一の汎用プラットフォームだと批判。iOSプラットフォームでもサービスを提供する道を探っていくとも述べている(GeekWireの記事[2]The Vergeの記事[2])。

Project xCloudのAndroidデバイス向けクラウドゲームプレイサービスは、Xbox Game Pass Ultimateサブスクライバーを対象に米国などで9月15日からベータ版の提供が開始される。
14263182 story
spam

YouTube、電子メールによる更新情報通知を13日で廃止 24

ストーリー by headless
通知 部門より
YouTubeが電子メールによる更新情報通知機能を8月13日で廃止するそうだ(YouTube Helpの記事9to5Googleの記事Neowinの記事)。

Googleによれば、実際に開封される通知メールは0.1%未満であり、受信トレイがいっぱいになってしまうとの苦情もあったという。更新情報のメール通知を廃止することで、アカウントに関する通知や全員に告知が必要なサービス内容の変更など、YouTubeからの重要な通知に注意が向くようになると期待しているとのこと。

メール通知廃止後もYouTubeアプリでのモバイル通知や、Chromeブラウザーでのデスクトップ通知は引き続き利用できる。Googleはメール通知を停止するテストを実施しているが、視聴時間に影響はみられず、逆にモバイルでのプッシュ通知や登録チャンネルの利用が増加したとのことで、クリエイターへの影響はないとみているようだ。

モバイル通知とデスクトップ通知のオプションはYouTubeの設定画面で「通知→モバイル通知とデスクトップ通知の管理→ユーザー設定」で変更できる。同じ画面にメール通知のオプションもあり、8月13日を待たなくてもここで無効化することが可能だ。

自分のアカウントには2年以上前から通知メールが届かなくなっていたが、設定を変更したまま忘れていたようだ。通知メールは削除せずに残してあったが、開封したものはほとんどなかった。スラドの皆さんはYouTubeのメール通知を利用していただろうか。
14262929 story
Facebook

Facebook Gamingアプリ、iOS版はインスタントゲームのプレイ機能を非搭載 33

ストーリー by headless
省略 部門より
Android版リリースから4か月近く遅れ、iOS版の「Facebook Gaming」がAppleのApp Storeでリリースされた(Facebook GamingのツイートOn MSFTの記事The Vergeの記事Mac Rumorsの記事)。

Facebook Gamingの主要機能はゲームプレイライブストリームの視聴だが、Android版にはインスタントゲームのプレイ機能とコミュニケーション機能も搭載されている。しかし、Appleはインスタントゲームをアプリの主な目的だと主張し、バイナリに埋め込まれていないコードの配信を主な目的とするアプリを禁じたApp Store Reviewガイドラインの4.7を適用して公開を拒否したそうだ。

FacebookはAndroid版でライブストリーム視聴がアクティビティの最大95%を占めるとAppleに説明したが受け入れられず、数か月にわたって申請と却下が繰り返されたという。Appleは6月、ガイドライン違反の判定に対する不服申し立てだけでなくガイドラインの内容自体に対する異議申し立てを可能にするレビュープロセス変更を発表しているが、これを利用した申し立てへの回答はなかったとのこと。

FacebookとしてはAppleに対する申し立てを続けることも可能だが、これ以上ライブストリーマーとファンを待たせたくないためインスタントゲームなしでのリリースを決めたそうだ。FacebookにはAppleの審査を最大6か月程度待つ余裕もあるが、すべての開発者に余裕があるとは限らないとしてAppleを批判している。
14262632 story
スラッシュバック

Microsoft、2030年までの廃棄物ゼロ達成を目標に掲げる 33

ストーリー by headless
目標 部門より
Microsoftは4日、同社の直接的な運営や製品・パッケージングで廃棄物ゼロを2030年までに達成する計画を発表した(Official Microsoft Blogの記事Neowinの記事GeekWireの記事The Vergeの記事)。

Microsoftは2030年までにカーボンネガティブを目指す計画を1月に発表し、7月には企業による温室効果ガス排出量ネットゼロ経済への取り組みを加速するための異業種連合組織を設立している。今回の計画もその一環だ。

廃棄物ゼロの目標を達成するため、Microsoftは再利用・転用・リサイクルの取り組みを強化する。データセンターにはMicrosoft Circular Centersを設置し、使われなくなったハードウェアから再利用・転用可能なコンポーネントを機械学習により識別する。アムステルダムで実施したパイロットプログラムではデータセンターのダウンタイムが減少し、再利用・転用可能な部品が増加するといった成果を上げており、運送コストも減少したという。

パッケージングでは使い捨て型プラスチックの使用を全面的に中止し、OECD基準でリサイクル可能な素材を100%使用する。Surfaceデバイスも100%リサイクル可能な素材で製造するとのこと。このほか、廃棄物に関するデータの改善や、循環型経済関連の投資を専門とするClosed Loop Partnersへの投資、顧客が廃棄物を削減できるようにするための情報提供、Microsoft従業員による取り組みへの参加、といった目標実現のための要素が挙げられている。
14262221 story
携帯電話

Google、Pixel 4/Pixel 4 XLを在庫限りで販売終了へ 42

ストーリー by headless
短命 部門より
GoogleがThe Vergeに対し、Pixel 4/Pixel 4 XLを販売終了すると伝えたそうだ(The Vergeの記事Neowinの記事SlashGearの記事The Next Webの記事)。

GoogleはGoogleストアでPixel 4/Pixel 4 XLの在庫をすべて売り切り、販売を終了したとのこと。ただし、米国向けのGoogleストアではSIMフリー版の一部の在庫が時々復活しているようだ。日本向けのGoogleストアではPixel 4 XLの64GB版のみ残っている。Pixel 4/Pixel 4 XLは2019年10月発売。Pixelスマートフォンでは最も短命な製品となった。

なお、Androidバージョンアップデートおよびセキュリティアップデートの提供保証期間は「米国の Google ストアでデバイスの提供が開始された日から最低 3 年間」となっているため、早期の販売終了による影響はない。Pixel 3まではセキュリティアップデートの提供期間が提供開始から最低3年間または販売終了から最低18か月間のいずれか長い方だったため、3年間よりも長くなる可能性もあった。

ちなみに、先日のPixel 4a発表に合わせてPixel 4a (5G)およびPixel 5も予告されているが、Google Franceの公式ブログ記事には2020年10月8日予約受付開始と一時記載されていた(Googleキャッシュ9to5Googleの記事)。ただし、米国で8月20日発売のPixel 4aがフランスでは10月1日発売となっているため、この日付が正しいにしてもフランス以外では異なる可能性が高い。
14262216 story
犯罪

Twitterのアカウント侵害事件、米国で起訴された英国の被告は逮捕されていない 9

ストーリー by headless
起訴 部門より
7月15日に発生したTwitterのアカウント侵害事件について、英国家犯罪対策庁(NCA)では米国で起訴された英国の19歳の被告を逮捕していないようだ(The Registerの記事NCAのツイート)。

この事件では米カリフォルニア北部地区連邦検事局が英国の19歳とフロリダ州オーランドの22歳を起訴し、フロリダ州の検察官がフロリダ州タンパの17歳を首謀者として起訴した。しかし、NCAは米当局の捜査に協力するため、サウスイースト地域の組織犯罪対策ユニットと共同で7月31日に19歳の被告の家宅捜索を行ったと述べるのみで、逮捕に関する言及はない。そのため、この被告は逮捕されていないとみられる。被告はコンピューターへの不正侵入罪と送金詐欺共謀罪、資金洗浄共謀罪の3件で起訴されている。

一方、17歳の被告の1回目の審理はZoomを使用して4日に開かれたが、ヒルズボロー郡裁判所の判事がパスワードを設定していなかったためたびたび妨害される事態になったようだ(Ars Technicaの記事)。
14262206 story
バイオテック

Excelの自動書式変換を避けるため、遺伝子シンボルが変更される 113

ストーリー by headless
転換 部門より
Microsoft Excelなど表計算ソフトウェアの自動書式機能により遺伝子シンボルが日付などの誤った値に変換されてしまうことを防ぐため、HUGO Gene Nomenclature Committee(HGNC)のガイドラインが変更されたそうだ(The Vergeの記事論文アブストラクト)。

自動書式機能では入力されたデータが特定の種類だと認識した場合、自動で書式を設定する。そのため、「membrane associated ring-CH-type finger 1」の遺伝子シンボル「MARCH1」が「1-Mar」に変換されてしまう。書式だけでなくデータ自体も「1/3/2001」のように変換されてしまうため、復元は困難だ。2016年には、遺伝子のリストを使用する論文の20%で遺伝子シンボルが誤った値に変換されたまま掲載されているとの調査結果も発表されている。このような問題の回避方法として、事前にセルの書式設定で「文字列」を選択しておくなどの方法が知られているが、自動書式自体を完全に無効化することはできなかった。

遺伝子シンボルは遊び心あふれる科学者たちの楽しみでもあり、無意味に別の単語と紛らわしいものも多い。そのため、ヒトの遺伝子シンボル27個はこの1年ほど、自動書式に影響を受けないような文字列への置き換えが進められていたのだという。たとえば「MARCH1」は「MARCHF1」に変更されており、「septin 2」を示す遺伝子シンボルは「SEPT2」から「SEPTIN2」に変更されている。このほか、検索を容易にするため「CARS」は「CARS1」に、「WARS」は「WARS1」に置き換えられ、侮辱的な表現になることを避けるための変更も行われているが、ソフトウェアが引き起こす問題の対策としてガイドラインが変更されたのは今回が初めてとのことだ。🧬
14261948 story
バグ

CCleanerがFirefox 79の拡張機能データファイルを一部Webキャッシュとして削除する問題 34

ストーリー by headless
削除 部門より
Firefox 79が拡張機能データを格納するファイルの一部について、CCleanerがWebキャッシュとして削除する問題が発生している(Ghacksの記事Techdowsの記事Softpediaの記事)。

Firefox 79ではプロファイルフォルダー内に新たなファイル「storage-sync-v2.sqlite」が追加され、syncストレージ領域に保存する拡張機能データの保存先となる。CCleanerが削除(Custom Clean→Applications→Firefox→Internet Cache)するのは、これに付随して生成される一時ファイル「storage-sync-v2.sqlite-wal」「storage-sync-v2.sqlite-shm」の2つだ。

.sqlite-walファイルと.sqlite-shmファイルはSQLiteをWAL(Write-Ahead Log)モードで実行する際に生成されるもので、データベースへの変更はいったん.sqlite-walファイルに書き込まれる。そのため変更が.sqliteファイルへ適用される前に削除されてしまうと、データが失われることになる。

この問題はFirefox 79 beta 2での発生が7月1日にCCleanerのフォーラムで報告されたものの、ベータ版だからという理由で放置されていたようだ。Firefoxでは他のデータにもWALモードを使用しているが、Firefox終了後に変更が.sqliteファイルに適用されないのはstorage-sync-v2.sqliteのみとなっていることからバグと判断したのかもしれない。

しかし、これらのファイルは一時ファイルだとはいえ、プログラム側で削除しない限り変更が保存されていないことになるため、バグかどうかにかかわらずCCleanerが勝手に削除していいファイルではない。そもそも「Internet Cache」ですらないのだが、フォーラムではファイルを除外リストに入れる対策が話題の中心になっている。
14261944 story
Chrome

Android版Chrome、しばらく使用していないユーザーへの通知表示を計画 28

ストーリー by headless
通知 部門より
Android版Chromeをしばらく使用していないユーザーに対し、通知を表示してChromeの使用を推奨する計画が進められているようだ(9to5Googleの記事Neowinの記事The Next Webの記事)。

9to5Googleが発見したコミットによると、他のアプリ内にChromeのタブを表示するCCT(Chrome Custom Tabs)が実行されたタイミングで使用状況をチェックし、Chromeをしばらく使用していないと判定した場合に3種の通知の一つを表示するという。通知の内容は主にChromeの使用でデータ使用量を削減できるといったものだ(android_chrome_strings.grd)。既にAndroid版Chrome Canaryには「Enable re-engagement notifications (chrome://flags#reengagement-notification)」というフラグが追加されている。
14260875 story
ビジネス

今年2∼5月、発熱などの風邪症状があっても約6割の人は仕事に行っていた 91

ストーリー by nagazou
専任感の空回り 部門より
町田征己・東京医大助教らの研究チームの発表によると、新型コロナウイルスが流行し始めていた2~5月の期間、約6割の人は発熱などがあっても仕事に向かっていたという。政府が発熱や咳などの風邪の症状がある人は、出勤しないことを求めていたが、やはり守られていなかった可能性が高い(産経新聞日経新聞)。

この研究は、関東1都6県の20~79歳の男女1226人を対象に行ったインターネット調査を元にしている。調査で体調不良だと答えた82人の回答を分析した結果、自宅を出ないか、出掛けたのは病院だけという人は計17%で、残りの62%は仕事場に出勤したそうだ。出勤者の多くは、会社員に加えて在宅勤務ができない業務である場合が多かった模様。
14260832 story
プライバシ

Gmailアカウントから送られたZoomの招待メールにGoogle Meetのリンクが追加されていたとの報告 15

ストーリー by nagazou
浸食 部門より
headless 曰く、

Zoomのオンラインミーティング招待メールで、送信者の知らない間にGoogle Meetのリンクが追加されていたとの報告が出ている(MSPoweruserの記事Neowinの記事)。

MSPoweruserの記事によれば、この招待メールはWindows 10の「メール」アプリでGoogleアカウントから送信されたものだという。メールには日時と場所(URL)に続いて参加方法に関する情報が記載されているのだが、参加方法の一つとしてGoogle MeetのURLが記載されている。事実関係は不明だが、このような情報は送信時に記載されていなかったとのことで、Googleが追加したとみられている。

14261271 story
バグ

接触確認アプリ「COCOA」にプッシュ通知とアプリ内の表示が真逆となる不具合が報告される 37

ストーリー by nagazou
これは悩む 部門より
接触確認アプリ(COCOA)で新たな不具合が出ているようだ(NHKshimajiro@mobilerTogetter)。

具体的には、アプリからプッシュ通知で「COVID-19にさらされた可能性があります」という通知が来たのにかかわらず、アプリを開いて接触確認を行うと「陽性者との接触は確認されませんでした」と表示されるというもの。厚生労働省は8月5日に「接触確認アプリ利用者向けQ&A」を更新、こうした表示が出た場合はメールで連絡するよう告知している。

//NHKの部分入れ忘れたので修正

あるAnonymous Coward 曰く、

接触確認アプリ「COCOA」に不具合情報 厚労省が調査
https://www3.nhk.or.jp/news/html/20200806/k10012555161000.html

接触確認アプリで「陽性者との接触は確認できませんでした」と表示されても、アプリからプッシュ通知が来た場合は陽性者との接触があったと判断して行動してください
https://togetter.com/li/1571585

14260825 story
クラウド

キヤノンの写真クラウド「image.canon」、保存データの一部が消失 29

ストーリー by nagazou
クラウドの怖いところではある 部門より
キヤノンは同社が運営しているデジカメ向けのクラウドサービス「image.canon」で、ストレージ障害が発生し、ユーザーが保存していた静止画・動画データの一部が失われたと発表した。同サービスでは1IDにつき10GBまでならユーザーはデータを長期保存できる(ITmedia日経新聞)。

7月30日に障害を発見。サービスを一時停止して調査したところ、6月16日以前にこの10GBストレージに保管していたデータの一部が消えてしまっていたことが判明したという。サムネイルに関しては残っているものの、オリジナルデータにはアクセスできないとしている。ストレージ障害に関しては修復、8月4日にサービスを再開したとしている。
14260822 story
お金

LINEの独自仮想通貨「LINK」、6日から国内で取引開始 28

ストーリー by nagazou
普及するのだろうか 部門より
あるAnonymous Coward 曰く、

LINEのグループ企業であるLVCは8月4日、LINEの独自の暗号資産(仮想通貨)「LINK(LN)」を日本でも6日12時から取り扱い開始すると発表した(コインポストCoinDesk JapanCNET)。

日本では法律面や制度面などの事情から、LINEポイントと交換可能なLINK Pointが使用されていたが、最後までLINK Pointを採用していた「Pasha」が2020年5月1日に制度を廃止したことで、LINK Pointは事実上消滅しているそうだ。

LINKは2018年に同社が発表したLINE Token Economy構想の一つ。日米以外では2018年10月からグローバル仮想通貨取引所「BITBOX」での取り扱いが行われており、米国でも2020年2月から「BITFRONT」で取り扱いが行われている。なお、LINKはLINKエコシステム内でサービスで使用できるとされているが、現時点では採用したサービスはまだない模様(2018年のリリース記事ITmedia)。

typodupeerror

UNIXはただ死んだだけでなく、本当にひどい臭いを放ち始めている -- あるソフトウェアエンジニア

読み込み中...