Oracle が 4 月のアップデートで修正した Java SE と GraalVM Enterprise Edition の脆弱性 (CVE-2022-21449) について、発見した ForgeRock の Neil Madden 氏が英 BBC の SF ドラマ「ドクター・フー」に登場する「サイキックペーパー」にちなんだ「Psychic Signatures」と名付けている (Madden 氏のブログ記事、 Ars Technica の記事、 The Register の記事)。

ドクター・フーのサイキックペーパーは白紙のカードだが、相手に見せたい任意の内容を表示できるというもの。一方、Psychic Signatures 脆弱性は楕円曲線デジタル署名アルゴリズム (ECDSA) 署名検証の脆弱性により、攻撃者が「白紙」の署名を使用して容易に認証をバイパスできるというものだ。

具体的には ECDSA 署名を構成する 2 つの値 (r、s) はいずれも 0 であってはならないが、影響を受けるバージョンの Java が実装する署名検証ではこれらの値が 0 でないことを確認しない。そのため、攻撃者は両方の値を 0 にした署名を作ることで、任意のメッセージと任意の公開鍵に対する有効な署名として利用できる。

Oracle では影響を受けるバージョンを Java SE: 17.0.2 / 18、GraalVM Enterprise Edition 21.3.1 / 22.0.0.2 としているが、サポートの終了した Java SE 15 /16 にも脆弱性は存在する。OpenJDK では影響を受けるバージョンを 15 / 17 / 18 としている。なお、この脆弱性の CVSS スコアを Oracle が 7.5 と評価するのに対し、ForgeRock では満点の 10.0 と評価しているとのことだ。

DuckDuckGo が thepiratebay.org など海賊版サイトのドメインをインデックスから削除するとともに、youtube-dl 公式サイトのドメインも削除したと TorrentFreak が報じている (TorrentFreak の記事、 BetaNews の記事)。

記事では site:youtube-dl.org の検索結果が何も返さなくなったことのみ指摘しているが、site:yt-dl.org や site:ytdl-org.github.io も検索できなくなっている。一方、youtube-dl を検索すると youtube-dl の GitHub リポジトリのほか、youtube-dl に関する情報が多数ヒットする。状況は Bing や Bing を使用する Ecosia でも同様であり、上流の Bing での変更が反映されただけかもしれない。

headless 曰く、

インドで半斤の食パンを購入可能な場所が調べられるサーチエンジン「Half Loaf Bread」が公開されている (Neowin の記事)。

開発した Prashant Baid (PB) 氏は食パンが大好きだが、3 日で 20 枚も食べるのでは多すぎるという。そのため、半斤の食パンを売っている場所を容易に見つけられるよう、専用サーチエンジンを開発したそうだ。検索対象は普通の白または茶色のサンドイッチ用食パンに限り、高級品は除外されている。また、食料品デリバリーアプリ Dunzo の非公開 API を使用しているため、検索可能な地域はインドの大都市の一部 (ベンガルール・チェンナイ・グルグラム・ハイデラバード・ムンバイ・ニューデリー・プネー)に限られるとのこと。

食パンの 1 斤は1ポンド (約 454 g) を指し、米国などでは塊で売られるパンの標準重量を 1 ポンドと定めているところ(アイオワ州の例: PDF)もあるが、日本では 340 g 以上 510 g 未満を 1 斤と定めている。実際に Half Loaf Bread でヒットするのは 200 g および 250 g の食パンであり、日本の基準でも半斤 (170 g 以上 255 g 未満)に相当する。

このサーチエンジンは実際に役立つようなものではなく、ジョークのようなものだが、現実的なサイズである半斤のパンを売る店が増えることを開発者は期待しているようだ。

headless 曰く、

ディープラーニング企業 Lambda が Razer と提携し、Ubuntu Linux をプリインストールした世界で最もパワフルなディープラーニング用ノート PC「TensorBook」を発表した (プレスリリース、 製品情報ページ、 Ars Technica の記事、 VentureBeat の記事)。

TensorBook は 15.6 インチ WQHD ディスプレイに Intel Core i7-11800H と NVIDIA RTX3080 Max-Q (VRAM 16 GB) を搭載し、RAM 64 GB、SSD 2 TB といったスペックだ。筐体はアルミニウムユニボディで、サイズは 35.5 cm × 23.5 cm × 1.69 cm、重量 2.02 kg。

Ubuntu Linux 20.04 LTS with Lambda Stack のほか、PyTorch や TensorFlow、cuDNN、CUDA など がプリインストールされ、機械学習 (ML) トレーニングとデモがローカルで素早く実行できる。トレーニングベンチマークでは Google Colab の最大 10 倍高速、Apple M1 Max の最大 4 倍高速だという。

オプションで Windows 10 Pro とのデュアルブート構成を選択でき、Windows 側にも同等の ML 関連ソフトウェアがプリインストールされる。価格は 3,499 ドルから。Windows 10 以外に追加できるオプションはプレミアムサポートとクラウドクレジットのみで、ハードウェアのアップグレードオプションは用意されていない。

多くの ML エンジニアが使用するノート PC には専用 GPU が搭載されておらず、リモートマシンのリソースに依存している。TensorBook は現在最もパワフルなモバイル GPU の一つを搭載し、ML エンジニアを SSH から解放するとのことだ。

ウクライナは世界のIT産業拠点の一つであることは以前にも少し取り上げたが、その現状についてZDNetが取り上げている。同国には25万人のIT関係者がおり、AppleやGoogle、Lyft、Ubisoft、Daimler、BMW、Citi、JPモルガンなどの大手企業にコーディングサービスを提供している。このため、記事では多くの有名ソフトウェア開発者の現状や疎開状況、ビジネスとしての事業の継続や扱っている顧客情報などのデータのセキュリティに関する話題、今後のサービスの継続に関する話題といった幅広い内容について触れられている（ZDNet Japan）。

あるAnonymous Coward 曰く、

ウクライナのソフトウェア開発者の現状についての興味深い記事が．．．．
BCP（事業継続計画）を考える上での参考になるかも？

ウクライナのソフトウェア開発者は今どうしているのか（ZDNet Japan）

PC系の専門書籍で知られる米O'Reilly Mediaは、分散SQLデータベースであるCockroachDBのハンズオンガイドを4月に発売する。このハンズオン・ガイドでは、ソフトウェア開発者、アーキテクト、およびDevOps/SREチームがCockroachDBを使用してアプリケーションを作成する方法について紹介するものとなっている。同社の書籍に関しては、表紙に動物の木版画を使用していることで知られている。コックローチといえば言わずと知れたゴキブリであり、このハンズオン・ガイドでも見事なまでのリアルな感じのゴキブリが表紙に描かれている（CockroachDB: The Definitive Guide）。

Windows上に擬似的なUNIX環境を構築する互換レイヤー「Cygwin」のサポートOSが変更される。MSYS2の開発チームは、2022年末から2023年初頭に登場予定となっている「Cygwin 3.5」からは、「64bit版のWindows 8.1/Server 2012 R2以降」に変更されると発表した。現時点でのCygwinの最新版はv3.3.4で、Windows Vista/Windows Server 2008をサポートしている。しかし、次のバージョンでは上記のOSはサポートされないとしている。32bit環境（WOW64を含む）のサポートもこのバージョンが最後となるとのこと（MSYS2、窓の杜）。

日刊SPA!の記事によると、最近の新規に登場するマンション名では「○×マンション」みたいな名前は使われなくなっているという。こうした「小田急麹町マンション」「碑文谷マンション」といった後ろにマンションが付く形式の名前は1960年代に建築されたものが多いという。そこから一歩抜けたとされるのが秀和で、同社は青山、赤坂、麻布の都心の一等地の建築物に「秀和南青山レジデンス」といった独自のネーミング体系を確立したという（日刊SPA!）。

これをきっかけに後ろに集合住宅を表す外国語を用いた建物が増加したそうだ。英語系のコート、フラット、プラザ、シャトー、ホームズのほか、アビタシオン（仏）、ハイム（独）、カーサ（伊）、ドムス（ラテン語）など英語以外の言葉が使われるように進化。さらにはークハイム（英+独）、ソフィアコート（ギリシャ語＋英語）の複合型に変わっていったという。最近では集合住宅を直接明示するような名称が底をついたことから、パストラル（田園の）、インペリアル（荘厳な）、グレイス（優雅な）などの形容詞になっていったそうだ。

さらに東急ドエルプレステージ池田山クレアモント（20文字）、ライオンズマンション門前仲町古石場パークサイド（23文字）、TOKYOベイフロントプロジェクト・ルネ・グランマリーナ潮見（30文字）などの変化が起き、手書きで宅配を出したくないような名称の建物も増えているとのこと。

Windows 11 のタスクバーを画面上端や左右端に移動する機能の追加はフィードバック Hub で最も多くの賛成票を集める要望となっているが、Microsoft は要望に応えるつもりがないようだ (Neowin の記事、 On MSFT の記事、 BetaNews の記事、 AMA セッション動画)。

Windows 11 のタスクバー/スタートメニューは大幅にデザイン刷新される一方で機能も大幅に削減され、リリース後のアップデートでスタートメニューのフォルダー作成機能や作成したフォルダーに名前を付ける機能などが順次追加されている。Microsoft の AMAセッションで質問に答えた Tali Roth 氏によれば、Windows 11 のタスクバーは一から作り直して重要な順に機能を追加しているのだという。

タスクバーを移動できるようにするにはそれぞれの場所で正しく表示されるようにデザイン修正が必要となるなど容易な作業ではなく、(フィードバック Hub で) 強く要望するユーザーは多いものの、(フィードバック Hub 以外では) 他の機能を要望するユーザーと比べて非常に少ないため、優先順位は低いとのこと。

実際に Windows 11 Insider Preview の古いビルドではレジストリ編集でタスクバーを移動できていたが、画面下以外に表示すると表示がおかしくなっていた。

Google は韓国でアプリストアによるアプリ内課金の独占を禁ずる法案が可決したことを受けて Google Play の支払いに関するポリシーを改訂したが、韓国放送通信委員会 (KCC) では改訂後も引き続き違法状態にあると判断しているようだ (The Register の記事、 The Next Web の記事、 KCC のプレスリリース)。

改訂後の Google Play ポリシーでは韓国のユーザーからのアプリ内購入に限り、開発者が申請することで Google Play の課金システムに加えて別のアプリ内課金システムを利用できることが明記された。その一方で、アプリ内や Google Play の掲載情報などに Google Play の課金システム以外の支払い方法に誘導するリンクの掲載などを禁ずる誘導禁止条項は残されている。

KCC の発表は Google を名指ししてはいないが、誘導禁止条項による開発者への不利な扱いや、アプリの更新停止・削除などを違法行為として取り締まりを行っていく方針を示している。Google は Google Play の課金システム以外の課金システム利用にも手数料を課す計画で、手数料は Google Play の課金システムよりも 4 % ポイント低くする方針を示している。

The Register の記事では韓国の開発者が手数料の支払いを避けるため別の課金方法を実装せずに外部リンクで誘導しており、6 月 1 日には猶予期間が終わってアプリが削除されると説明している。ただし、Google Play ポリシーに誘導禁止条項が追加されたのは 2021 年 1 月のことであり、Google が手数料率に関する方針を示した 2021 年 11 月以降に Google Play で誘導禁止条項に違反するアプリの公開が許可されていたのかどうかは不明だ。

Microsoft は 6 日、Windows 11 Insider Preview ビルド22593 を Beta チャネルと Dev チャネルにリリースした (Windows Insider Blog の記事、 Ghacks の記事、 On MSFT の記事、 Neowin の記事)。

本ビルドではエクスプローラーのデフォルトのホームページである「クイックアクセス」の名称が「ホーム」に変更されている。「クイックアクセス」という名称は「よく使用するフォルダー」の名称を置き換える形で残り、クイックアクセスにピン留めしたファイルは「お気に入り」と呼ばれるようになった。これに伴い、ファイルをクイックアクセスにピン留め・ピン留め解除するコンテキストメニュー項目は「お気に入りに追加」「お気に入りから削除」に変更されている。なお、Microsoft は Windows 11 のエクスプローラーにタブ機能を追加する計画を公式に発表したが、本ビルドにタブ機能は含まれていない。

Google は 6 日、アプリのターゲット APIレベルに関する要件を拡大する Google Play ポリシー改定を発表した (Google Play の対象 API レベルに関するポリシー、 Google Play ポリシーの最新情報、 Google Play アプリの対象 API レベル要件、 Android Developers Blog の記事)。

現行ポリシーのターゲット API レベルに関する要件は新しいアプリとアプリのアップデートを対象にしており、1 年以内にリリースされた最新の Android OS メジャーバージョンをターゲット API レベルに設定することを義務付けている。11 月 1 日以降はアップデートされていない既存のアプリも対象となり、2 年以内にリリースされた Android OS メジャーバージョンをターゲット API レベルに設定していないアプリは Google Play で新しいユーザーからのアクセスが制限される。

具体的にはアプリの既存ユーザーを除き、ターゲット API レベルよりも新しいバージョンの Android OS を実行するデバイスでは Google Play でアプリにアクセスできなくなる。そのアプリを以前に Google Play からインストールしたことのあるユーザーは、アプリ側がサポートしている限り Android OS のバージョンにかかわらず引き続きアプリを検索・インストール・使用できるとのことだ。

headless 曰く、

Apple が App Store Review ガイドラインを 3 月 30 日付で改訂し、「リーダー」アプリのアカウント作成・管理機能を提供する Web サイトへのリンクをアプリ内に設置可能とした (The Next Web の記事、 9to5Mac の記事、 The Verge の記事、 Mac Rumors の記事)。

「リーダー」アプリはデジタルコンテンツ (雑誌・新聞・書籍・オーディオ・音楽・ビデオ) 提供を主要機能とするアプリで、アプリ外で作成したアカウントにサインインして以前購入したコンテンツやサブスクリプションを Apple のデバイス上で利用可能とするものだ。これまでのガイドラインでは「リーダー」アプリを含め、3.1.1「App内課金」で Apple のアプリ内課金 (IAP) 以外の方法で購入に誘導するボタンやリンクなどをアプリ内やメタデータに含めることが禁じられており、3.1.3「その他の購入方法」では IAP 以外の購入方法を利用可能なアプリを定める一方で、IAP 以外の購入方法をアプリ内でユーザーに促すことが禁じられていた。

今回の改訂では 3.1.3(a) の「リーダー」アプリが例外となり、「外部リンクのアカウントエンタイトルメント」を申請することで、アカウント作成や管理を行うための外部サイトへのリンクをアプリ内に設置することが許可される。申請はアプリのバンドル ID ごとに行い、そのバンドル ID に結び付けられた単一のバイナリでのみエンタイトルメントを利用できる。申請には「リーダー」アプリの要件を満たすことのほか、アプリ内課金を提供しないことやリアルタイムでの個人対個人のサービスを提供しないことが必要とされる。

Apple は昨年、「リーダー」アプリに限って IAP 以外の購入方法への誘導を許容するガイドライン変更を日本の公正取引委員会に約束し、公正取引委員会は App Store における独占禁止法違反に関する問題が解消されたとして同件に関する調査を打ち切っている。3.1.1 と 3.1.3 の誘導禁止条項は Epic Games との裁判でも争点になっており、ロシア連邦反独占庁 (FAS) も反独占法に違反するとして修正を求めていた。

VMwareは3月31日にJavaアプリケーションフレームワーク「Spring Framework」に脆弱性「CVE-2022-22965」が存在すると発表した。悪用された場合、第三者によるリモートコードが実行される可能性がある。これらは通称「Spring4Shell」または「SpringShell」と呼ばれているという。脆弱性の深刻度は「Critical」。共通脆弱性評価システムCVSS v3のスコアは「9.8」（VMware、JPCERT/CC、INTERNET Watch、Security NEXT）。

脆弱性の対象となる Spring Framework のバージョンはSpring Framework versions 5.3.0から5.3.17、同じく5.2.0から5.2.19となっている。また攻撃を成功させるためには、JDK 9以上を使用している、pache Tomcatをサーブレットコンテナとして使用している、WAR形式でデプロイされている、プログラムがspring-webmvcあるいはspring-webfluxに依存しているなどの条件が揃う必要があるという。VMwareでは脆弱性に対処した「Spring Framework 5.3.18」「同5.2.20」を公開した。JPCERT/CCは、十分なテストを実施の上で適用するよう促している。

またこの直前となる29日にSpring Cloud Functionのバージョン3.1.6および3.2.2とサポートが終了している古いバージョンで、ルーティング機能を有効にしている場合に細工された「SpEL」によって、ローカルリソースへのアクセスを許容してしまう脆弱性「CVE-2022-22963」があるとのことも報告されている（Vmware、ZDNet）。

Microsoft は Windows 11 で既定の Web ブラウザーの設定を容易にする設定項目を追加したが、Mozilla はまだまだ不満なようだ (Neowin の記事、 On MSFT の記事、 Softpedia の記事、 Windows Central の記事)。

この設定項目は先日オプションの更新プログラムとして一般提供が始まった累積更新プログラムのプレビュー (KB5011563、ビルド 22000.593) をインストールすることで利用可能になる。ただし、Windows 10 の既定のプログラム設定のように「音楽プレイヤー」「フォトビューアー」「Webブラウザー」といった種類別に一括して既定値を設定するのではなく、アプリの設定ページを開いて設定するため少し手間がかかる。

Mozilla は設定方法の変更を正しい方向だとしつつ、ユーザーが簡単に既定値を選択できるようにすることや、開発者が容易に既定値の設定機能を組み込めるようにすることなど、既定のブラウザーの選択を尊重するためにできることがもっとあるはずだと指摘する。具体的には設定に必要な手順の数を減らすこと、Microsoft のアプリが既定のプログラム設定に使用する API を他のアプリにも開放することを挙げている。