Microsoft は 8 日、Windows 11 Insider Preview ビルド 22518 を Dev チャネルでリリースした (Windows Insider Blog の記事)。

本ビルドでは、タスクバー上のウィジェット表示を変更するテストのロールアウトが開始されている。Windows 11 のウィジェットは Windows 10 の「ニュースと関心事項」と同様の機能だが、Windows 10 ではタスクバーに天気の情報が表示されるのに対し、Windows 11 では表示されなくなっている。新しいウィジェット機能ではタスクバーの天気表示機能が復活 (もともと表示されていなかったので正確な表現ではないが) するほか、タスクバーが中央揃えになっている場合は、ウィジェットのボタンがタスクバー左端に移動する。

ただし、現在は一部の Insider に提供して様子を見ている段階だといい、手元の複数の環境では現行版のままになっている。個人的にはウィジェットが特に必要ないため非表示にしているが、タスクバーのアイコンに天気が表示されるなら非表示化をやめるかもしれない。

このほかの新機能としては、デスクトップの背景画像に「スポットライトのコレクション」が選択できるようになっており、アクセシビリティ機能に「音声アクセス」が追加されている。音声アクセスは現在のところ英語 (米国) のみをサポートしており、 Windows の表示言語を英語 (米国) に設定しなければ期待通り動作しない可能性があるという。

なお、手元の環境で表示言語を英語 (米国) にして試してみたが、設定の「Accessibility → Speech」で「Voice access」をオンにすると「VoiceAccess.exe」でアプリケーションエラーが発生して起動しない。英語版の Windows 11 Insider Preview で試しても結果は同じだった。

Apache Log4j 2 でリモートコード実行の非常に深刻な脆弱性 (CVE-2021-44228) が見つかり、修正版の Log4j 2.15.0 が公開された (Apache Log4j Security Vulnerabilities、 The Register の記事、 LunaSec のブログ記事、 The Verge の記事)。

この脆弱性はLog4j 2 の JNDI 機能が攻撃者にコントロールされた LDAP やその他の JNDI 関連エンドポイントに対する保護を行わないというもので、Log4j 2.0-beta9 から 2.14.1 までのバージョンが影響を受ける。攻撃者は脆弱性のある Log4j 2 に特定の文字列をログとして記録させることで、LDAP サーバーから任意のコードを読み込んで実行させることが可能だ。この脆弱性を使用するエクスプロイトが既に公開されており、「Log4Shell」などと呼ばれている。

これについて あるAnonymous Coward 曰く、

Java のログ出力ライブラリ「Apache Log4j」にリモートコード実行 (RCE) の脆弱性が存在することが明らかになった。

この脆弱性を悪用するために特別な設定は不要で、「Apache Struts 2」、「Apache Solr」、「Apache Druid」、「Apache Flink」などが影響を受けるとのこと (窓の杜の記事)。

プログラムで Java を導入しているところは Log4j も入っているものと考えると影響は広範囲に及ぶものと見られ、GitHub では Apple、Steam、Minecraft などでの実証した画像が公開されている。

米連邦巡回区第 9 控訴裁判所は 8 日、Epic Games と Apple の裁判で Apple が申し立てていた App Store Review ガイドラインの誘導禁止条項に対する差止命令の一時停止を認めた (裁判所文書、 The Verge の記事、 Mac Rumors の記事、 9to5Mac の記事)。

Epic が Apple を不当な独占行為で訴えたこの裁判では、Epic が主張する Apple の不当行為 10 カウントのうち連邦地裁で認められたのは1カウントのみ。そのため、Apple は勝利宣言をする一方、不正行為が認められた 1 カウントについては控訴している。この 1 カウントは App Store Review ガイドラインの 3.1.1 と 3.1.3 の誘導禁止条項がカリフォルニア州の不正競争防止法 (UCL) に違反するというもので、恒久的差止命令も出された。Apple は控訴に伴う差止命令の一時停止を申し立てたが連邦地裁では却下され、連邦控訴裁判所で申立を行っていた。

控訴裁判所では独占禁止に関する法令が許容する行為であれば UCL で不公正な行為とみなすこともできないという判例を引き、Epic が Apple の独占禁止法違反を示すことができず、同じ行為が UCL に違反することを示したという連邦地裁の判断について、Apple の控訴が重大な疑問を投げかけていると判断。さらに Apple は恒久的差止命令が回復不可能な損害を与えることも示しているとのこと。一時停止は控訴裁判所の判決まで継続する。

Debian が現在、Web ブラウザーサポートで悲しい状況となっているそうだ (Phoronix の記事)。

Debian に同梱されているブラウザー (Chromium、Firefox ESR、Falkon など) はいずれも、パッケージメインテナーが簡単に修正できないセキュリティ上の問題を抱えているという。Debian の Chromium はいまだにバージョン 90.0.4430.212-1であり、Debian Wiki では Firefox や Brave、ungoogled-chromium などへの移行を検討するよう求めている。

Debian の Firefox ESR はバージョン 78.15.0 (安定版の Debian 11 Bullseye では 78.14.0)で止まっており、91.x ESR ブランチへの移行が遅れている。これは Firefox ESR 91.3 で安定性の問題が報告されたためだ。ESR 91.3 はデフォルトで EGL を使用するよう変更されており、Bullseye の mesa (バージョン 20.3.5) が EGLの要件 (mesa 21.x 以上)を満たさないためではないかとも指摘されていたが、問題は ESR 91.4 で解決済みになっている。

このほか Falkon など Debian に同梱される他のブラウザーも長らくセキュリティパッチが適用されていないとのこと。Phoronix に問題を提起した読者はこの状況の非常に悲しい部分として、非自由なソフトウェアをデフォルトでユーザーから遠ざけるという哲学を持つ Debian が逆に人々を Google Chrome や Opera といったクローズドソースへ向かわせている点を指摘し、Debian プロジェクトにとって厳しい時期であると述べている。

headless 曰く、

Microsoft は 7 日、新デザインの Windows 11 版「メモ帳」アプリを Dev チャネルの Windows Insider 向けにロールアウト開始した (Windows Insider Blog の記事)。

Microsoft は 2019 年にメモ帳を Microsoft Store 経由で提供する計画を発表し、Windows 10 Insider Previewでテストしていた。結局Windows 10での計画は取りやめとなったが、Dev チャネルの Windows 10 Insider Preview で提供が再開され、Windows 11 に引き継がれた。ただし、デザインの面では Win32 版と大きな違いはみられない。

今回ロールアウトが始まったメモ帳アプリはデザインが大幅に変更されており、ダークモードにも対応する。UWP アプリスタイルの設定画面や、新しい検索・置換ダイアログのほか、コミュニティからの要望が多かったマルチレベルのアンドゥ・リドゥのサポートなども追加されている。

headless 曰く、

Mozilla は 7 日、Firefox 95.0 をリリースした (リリースノート、 Mozilla Hacks の記事、 The Verge の記事、 Phoronix の記事)。

本バージョンでは「RLBox」と呼ばれる新しいサンドボックス技術が全プラットフォームで有効化されている。すべてのメジャーブラウザーは Web コンテンツをサンドボックス内で実行し、ブラウザーに脆弱性があってもコンピューターには影響を与えないようにしている。しかし、サンドボックス内のプロセスに影響を与える脆弱性とサンドボックスを迂回可能な脆弱性を組み合わせた攻撃もしばしば発生しており、さらなる保護の仕組みが必要となる。

次のステップとしては機能の境界でプロセスを分離することだが、パフォーマンスへの影響が大きい。そのため、RLBox ではコードを個別のプロセスに分離するのではなく、まず WebAssembly にコンパイルし、そこからさらにネイティブコードにコンパイルする。これにより、対象のコードはプログラムの予期しない部分へジャンプすることや、指定された領域外のメモリーにアクセスすることができなくなる。その結果、信頼されるコードと信頼されないコードの間で安全にアドレス空間を共有可能になるとのこと。

RLBox のプロトタイプは既に Firefox 74 で Linux ユーザーに、Firefox 75 で Mac ユーザーに提供されていた。Firefox 95 ではデスクトップおよびモバイルのサポートされるすべてのプラットフォームで有効化され、Graphite / Hunspell / Ogg の3つのモジュールを分離するとのことだ。

Amazon Web Services（AWS）は1日、機械学習の学習と実験のための開発環境を無料でセットアップ可能となる「Amazon SageMaker Studio Lab」の提供を発表した。SageMaker Studio Labは、オープンソースのJupyterLab IDEをベースにした新サービスで、PythonやR言語などに対応しており、ターミナル機能やGITとの連携機能などを備えているという（Amazonリリース、Publickey）。

利用者はセッションあたり12時間分のCPUもしくは4時間分のGPUにあたる計算リソース、16GBメモリ、プロジェクトあたり15GB分のストレージが利用できるとのこと。クレジットカードなどの登録やAWSアカウントも不要で、メールアドレスを登録すれば利用できるとしている。

YouTube が非表示化した動画の低評価カウントを表示する拡張機能「Return YouTube Dislike」が公開されている (9to5Googleの記事、 拡張機能の FAQ ページ)。

Return YouTube Dislike は現在のところ、YouTube の公式 API を使用して低評価カウントを取得している。ただし、この API は 12 月 13 日で提供が打ち切られるため、以降は推計になるそうだ。開発者は現在の低評価カウントのアーカイブを進めており、拡張機能のユーザーデータと再生/高評価の比率を組み合わせて推計することになる。

拡張機能は Chromium 系ブラウザー向けが Chrome ウェブストアで、Firefox 向けが Mozilla のアドオンストアで公開されているほか、UserScript やサードパーティによる脱獄済み iOS 向けのバージョンも入手可能だ。

現在のところ低評価カウントは 2 ～ 3 日おきに更新されているが、短縮することも計画しているとのこと。YouTube の動画の数は膨大だが、うまくいくだろうか。

Apple が Epic Games との裁判で、App Store で提供するアプリがユーザーに課金した場合、Apple のアプリ内購入 (IAP) 以外の方法を使用する場合でも手数料を課すことが可能との考えを示している (裁判所文書: PDF、 The Register の記事、 9to5Mac の記事)。

Apple は連邦地裁で App Store Review ガイドラインにおける誘導禁止条項への恒久的差止命令に対する一時停止の申立が却下されたことから控訴裁判所に申立を行っている。IAP 以外への手数料に関する主張は Epic の主張に反論するものだ。Epic 側は Apple がアプリ外での取引に対して手数料を課さないと主張している。

一方、Apple はガイドラインで許可していなかったために手数料を課さなかったのであり、IAP 外の取引に対しても手数料やライセンス料を課す権利があると主張する。しかし、そのためには新たな手数料システムを構築する必要があり、構築にかかる経費は控訴審で勝利しても取り戻すことはできない。そのため、恒久的差止命令が一時停止されなければ Apple が回復できない損害を被るとのこと。

Google は韓国でアプリ内課金にサードパーティの決済システムを利用できるようにすることが義務付けられたことを受け、ユーザーがサードパーティ課金システムを選択した場合でも開発者に手数料を課す計画を示している。

Amazon の Android 向けアプリストア Amazon Appstore では Android 12 対応が遅れ、ユーザーから不満が出ている (Amazon Digital and Device Forum での報告、 Android Police の記事、 Liliputing の記事、 9to5Google の記事)。

Android 12 上で発生する問題としては、Amazon Appstore が正常に動作しなくなるほか、DRM の関係で Amazon Appstore 経由でインストールしたアプリが有料・無料にかかわらず使用できなくなるというもの。Amazon の Device and Digital Forum では APK をデコンパイルして Amazon DRM に関連する行をコメントアウトし、自分の署名を使ってリコンパイルすれば Android 12 でも動作するようになるとの報告が出ている。

問題は Android 12 の Pixel デバイス向け提供が始まった 10 月下旬から Digital and Device Forum で報告されており、100 件以上のコメントが付けられている。しかし、Amazon スタッフは謝罪してテクニカルチームが問題解決に努めているとの回答を繰り返すのみで、11 月 28 日時点でも引き続き調査中だと説明している。

Amazon Appstore は知名度だけでなくテクノロジー面でも Google Play に後れを取っている。Google Play ではアプリ公開形式に Android App Bundle (AAB) 形式が 2018 年から選択可能になっており、今年 8 月からは新規公開アプリで必須化された。一方、Amazon Appstore では今年 7 月になって AAB 形式のサポート計画を発表し、年内に進捗状況を発表するとしていたが、現時点では特に発表は出ていない。

なお、Windows 11 の Android アプリサポートでは公式アプリストアとして Amazon Appstore を使用するが、現在のところ Windows Subsystem for Android が Android 11 であることから特に影響はないようだ。

先日 Microsoft Store から一時削除され、その後復活した「WSATools」の削除理由の一つは、やはり名称が問題視されたことだったようだ (Simone Franco 氏のブログ記事、 Neowin の記事)。

WSATools は Windows Subsystem for Android でアプリのサイドローディングを容易にするアプリ。開発者の Simone Franco 氏は削除に正当な理由があったと述べていたが、具体的な内容は説明していなかった。

Franco 氏によれば WSATools には Microsoft Store からの削除理由となったルール違反が 2 点あり、その 2 つ目が名称なのだという。「WSATools」の「WSA」は Windows Subsystem for Android (WSA) を示し、Microsoft は商標登録していないにしてもサードパーティアプリでの名称使用は好ましく思っていないとのこと。

1 つ目のルール違反は明確に説明されていないが、そもそも WSATools は一般公開されない代わりに認定条件の緩いプライベート対象のアプリとして Microsoft Store に登録されており、一般公開しようとしたが却下されていたそうだ。プライベート対象アプリは指定したユーザーアカウントのみ Microsoft Store アプリに表示されるが、リンクを知っていれば誰でもインストールできる。

そこで Franco 氏はプライベートのままで多くの人にダウンロードしてもらうべく、自らリンクをリークした。この作戦は成功したが、2 日後には追加の認定プロセスが走り、アプリは削除されることになる。しかし、Franco 氏が受け取った認定プロセスの報告書には何も書かれておらず混乱を呼んだが、のちに手違いであったと Microsoft から説明されたとのこと。

現在では再びプライベート対象アプリとして Microsoft Store で公開されているが、ルール違反はプライベート対象なら問題なかったのに追加の認定プロセスが誤って削除してしまったということなのだろうか。いずれにしても 2 つのルール違反を修正しさえすれば WSATools を一般公開できると Franco 氏は述べている。

ファルコムのPC-8801mkIISR版「ソーサリアン」をX68000シリーズ向けに移植した経験を持つPI.氏。この移植はあくまで個人の範囲内で独自に行ったものだが、同氏はその過程で得られた種々の技術を解説するページを公開している。基本的にはPC-88の内部構造やプログラミングの知識を持つ方向けの内容となっているが、解析により判明したこぼれ話、秘話なども含まれており、一般のソーサリアンファンも楽しめる内容となっている（ソーサリアン~内部解析からわかったこと~ by PI.）。

tamaco 曰く、

ｍｄｘで実機からコンバートしたFM音源の曲でよくお見かけしたPI.氏の記事。X68000,FM-7,PC-8801FAなどのエミュレータなどもあります。技術的に読ませる良記事

英ユニリーバは18日、「リプトン」などのブランドで知られる紅茶事業「ekaterra」社を売却すると発表した。売却先は投資ファンドのCVCキャピタル・パートナーズで、売却額は45億ユーロ（約5800億円）。日経新聞によると、ユニリーバは紅茶需要が伸び悩んでいることから、植物由来の代替肉などの成長事業に注力する方針であるという。なおekaterraはリプトンをはじめとして紅茶関係の事業で34のブランドのポートフォリオを持つ。2020年には約20億ユーロの収益を上げていたとされる（リプトンプレスリリース、時事ドットコム、日経新聞）。

Chromium のソースツリーに 9 月 9 日から 11 月 18 日まで、マルウェアを含むテスト用の Office ドキュメントが誤ってコミットされていたそうだ(Google グループでのアナウンス、 9to5Google の記事)。

このマルウェアが Chrome のリリースに含まれることはなく、Google Chrome や派生版ブラウザーのユーザーが影響を受けることはないという。また、マルウェアサンプルは 5 年前の古いものであり、Windows 上で Chromium のソースコードから Microsoft Office を使用して開かかなければ実行されることはないが、Chromium 開発者にはリベースの実行が推奨されている。

maia 曰く、

安定版が 10 月 25 日から配布開始された macOS Monterey に Object Capture API が実装されている (参考: ObjectCaptureの使い方、RealityKit 2)。

Object Capture はフォトグラメトリで複数の写真から USDZ ファイルを生成する API であり (参考: USDZ ファイルの作り方)、Xcode プロジェクトに組み込むことも可能だ。