Apache Log4j 2 でリモートコード実行の非常に深刻な脆弱性 (CVE-2021-44228) が見つかり、修正版の Log4j 2.15.0 が公開された (Apache Log4j Security Vulnerabilities、 The Register の記事、 LunaSec のブログ記事、 The Verge の記事)。

この脆弱性はLog4j 2 の JNDI 機能が攻撃者にコントロールされた LDAP やその他の JNDI 関連エンドポイントに対する保護を行わないというもので、Log4j 2.0-beta9 から 2.14.1 までのバージョンが影響を受ける。攻撃者は脆弱性のある Log4j 2 に特定の文字列をログとして記録させることで、LDAP サーバーから任意のコードを読み込んで実行させることが可能だ。この脆弱性を使用するエクスプロイトが既に公開されており、「Log4Shell」などと呼ばれている。

これについて あるAnonymous Coward 曰く、

Java のログ出力ライブラリ「Apache Log4j」にリモートコード実行 (RCE) の脆弱性が存在することが明らかになった。

この脆弱性を悪用するために特別な設定は不要で、「Apache Struts 2」、「Apache Solr」、「Apache Druid」、「Apache Flink」などが影響を受けるとのこと (窓の杜の記事)。

プログラムで Java を導入しているところは Log4j も入っているものと考えると影響は広範囲に及ぶものと見られ、GitHub では Apple、Steam、Minecraft などでの実証した画像が公開されている。

就活支援サービス「サポーターズ」は、登録されてるトップエンジニア学生436名を対象に実施した開発環境に関するアンケート調査結果を発表した。ここでいうトップエンジニア学生4は自主的に開発した制作物を保有している学生のことだそう（サポーターズリリース、Ledge.ai）。

調査によると「普段もっとも使っているor好きなプログラミング言語」の項目ではPyhtonが45.6％と2位のJavaScripsの16.5％に大差を付けて1位となった。AIやデータ分析ニーズの高まりから選ばれたとされている。なお3位はRuby、4位はC++、5位はPHPとなっている。「これから挑戦してみたいプログラミング言語」の項目では、Goが41.1％、Rustが23.4％と世間の注目度に合わせたものとなっている。なお開発端末のOSはmacOSが57.8％と最も多く、Windowsは31.9％、Linuxは9.9％であったとしている。

headless 曰く、

Microsoft が Windows 11 で来年、既定のターミナルエミュレーターを Windows Terminal に変更する計画を示している (Windows Command Line のブログ記事、 The Verge の記事、 Neowin の記事、 Phoronix の記事)。

Windows 11 では Win + X メニューやフォルダーのコンテキストメニューに表示されるコマンドシェルが Windows Terminal になっているため話がわかりにくいが、Windows でコマンドプロンプトや Windows PowerShell などをホストする既定のターミナルエミュレーターは最初期からコンソールウィンドウホスト (conhost.exe) であり、置き換えは容易でなかったという。

しかし、Windows 11 では既に既定のターミナルエミュレーターを選択するオプションが用意されており、「設定→プライバシーとセキュリティ→開発者向け」や、コマンドプロンプト / Windows PowerShell / Windows Terminal の設定画面で変更できる。なお、これらの設定はすべて同じもののようで、1 か所で設定すると他の場所の設定にも反映する。

Apache Log4j 2における深刻な脆弱性「Log4Shell（CVE-2021-44228）」の問題が世間を騒がせている。米Microsoftやセキュリティ企業のCheck Point Softwareなどの発表によると、この脆弱性が中国、イラン、北朝鮮、トルコなどの集団により悪用されているという。中国を拠点とする攻撃者集団「HAFNIUM」などがこの脆弱性を利用して仮想化インフラを攻撃しているととされる。12月10日以降、Log4Shellを用いたサイバー攻撃が72時間ほどで急増中とされ、1分間に100回以上の攻撃が検知された場面もあったとしている（GIGAZINE、ZDNet、ITmedia）。

またさらに新たな脆弱性「CVE-2021-45046」に関しても発覚が報告されている。Log4jを提供するApacheソフトウェア財団（ASF）によれば、CVE-2021-44228に対処するための修正パッチが不完全であったことから、DoS攻撃を引き起こす可能性があるとしてLog4jをバージョン2.16.0以降にアップデートするように呼びかけている（GIGAZINE）。

米国土安全保障省（DHS）傘下のサイバーセキュリティインフラストラクチャ安全保障局（CISA）は14日、連邦政府機関に対し、この脆弱性の影響を受けるシステムに対し、12月24日までにパッチを適用するよう指示したとされる（CISA、ITmedia）。またこの問題に関しては国内メディアでも多く取り上げられるようになってきた（JPCERT/CC、NHK、日経新聞）。

しかし問題に気付かない組織がこれからもいると見られ、今回の脆弱性をきっかれにした問題は広範囲かつ長期にわたる問題になるとの指摘も出ている（WIRED）。なおこの脆弱性がリモートから任意のコードを実行可能になることから、それでパッチも当てられるのではと考え、必要なものをワクチンとして開発した企業が出てきているという。セキュリティベンダーCybereason社が作成したもので、プロジェクトの名前は「Logout4Shell」。ソースコードは「GitHub」でホストずみ。ただしいろんな意味で問題があることから、Cybereason社も、このコードを使った結果には「一切の責任を負わない」としているとのこと（Logout4Shell、窓の杜）。

全国宝石卸商協同組合（ZHO）は19日、63年ぶりに誕生石を改訂すると発表した。「誕生石」は1958年に米宝石商組合（現ジュエラーズ・オブ・アメリカ）が定めた誕生石をもとにして、ZHOが日本独自にサンゴとヒスイを加えて制定したものだったという（全国宝石卸商協同組合（PDF）、NHK、ハフポスト）。

プレスリリースによれば、こうした誕生石は国によって違いがあり、独自の文化に由来して定められているという。しかし、国内においても様々な誕生石リストが混在していることから、消費者が混乱するのを避けることから統一した形に改定するとしている。またコロナ禍で業界にもダメージがあり、誕生石改訂により宝石への関心を高めたい意向もあるとしている。

改訂後は新しい石が10種類追加される。これまで1種類しかなかった月に関しても、新しく加わることで選択肢が増加するとしている。新たに加わるのは2月のクリソベリル・キャッツ・アイ、3月のブラッドストーン、アイオライト、4月のモルガナイト、6月のアレキサンドライト、7月のスフェーン、8月のスピネル、9月のクンツァイト、12月のタンザナイトとジルコンとなっている。

Android Police の信頼できる情報提供者によると、Google は Android 13 で「Panlingual」というコードネームの新機能を開発しているそうだ (Android Police の記事)。

Panlingual はシステムの言語設定とは別にアプリごとの言語設定を可能にするものだ。現在は Google マップなどが独自にアプリの設定でシステム言語と異なる言語の指定を可能にしているが、Panlungual では「設定」アプリの「言語と入力」や「アプリ情報」で設定可能になるという。

これにより、アプリの個別の設定画面で設定可能かどうかを探す必要がなくなり、一般的な設定手順でアプリごとの言語設定を変更可能になる。希望のUI言語をアプリがサポートしていない場合は役に立たないが、UI翻訳機能と組み合わされる可能性も指摘されている。

2025年以降の国立大入試で「情報」科目が追加される件では、浪人生などへの対応が問題となっていた。その件で大学入試センターは17日、25年に限って浪人生向けに『旧情報』を出題する方針を発表した。旧情報は新たに設定される『情報Ⅰ』とは別に、現行の教育課程の範囲をを出題範囲とするものとなる。情報Iと平均点で大きな差が生じた場合は得点調整を行うとしている（「情報」の出題方法について[PDF]、得点調整の対象教科・科目について[PDF]、共同通信、リセマム）。

国立大学協会も23日、新教科「情報」を加えた「6教科8科目」の受験を原則とする方針が22日の理事会で了承されたという。来年1月の総会で正式決定するとしている（共同通信）。