『16TB』という"型番"の「512GB SSD」などが複数のECサイトで確認される
タレコミ by Anonymous Coward
アナウンス:スラドとOSDNは受け入れ先を募集中です。
Oracle が 4 月のアップデートで修正した Java SE と GraalVM Enterprise Edition の脆弱性 (CVE-2022-21449) について、発見した ForgeRock の Neil Madden 氏が英 BBC の SF ドラマ「ドクター・フー」に登場する「サイキックペーパー」にちなんだ「Psychic Signatures」と名付けている (Madden 氏のブログ記事、 Ars Technica の記事、 The Register の記事)。
ドクター・フーのサイキックペーパーは白紙のカードだが、相手に見せたい任意の内容を表示できるというもの。一方、Psychic Signatures 脆弱性は楕円曲線デジタル署名アルゴリズム (ECDSA) 署名検証の脆弱性により、攻撃者が「白紙」の署名を使用して容易に認証をバイパスできるというものだ。
具体的には ECDSA 署名を構成する 2 つの値 (r、s) はいずれも 0 であってはならないが、影響を受けるバージョンの Java が実装する署名検証ではこれらの値が 0 でないことを確認しない。そのため、攻撃者は両方の値を 0 にした署名を作ることで、任意のメッセージと任意の公開鍵に対する有効な署名として利用できる。
Oracle では影響を受けるバージョンを Java SE: 17.0.2 / 18、GraalVM Enterprise Edition 21.3.1 / 22.0.0.2 としているが、サポートの終了した Java SE 15 /16 にも脆弱性は存在する。OpenJDK では影響を受けるバージョンを 15 / 17 / 18 としている。なお、この脆弱性の CVSS スコアを Oracle が 7.5 と評価するのに対し、ForgeRock ではパーフェクトスコアの 10.0 と評価しているとのことだ。
Google Play でサードパーティー製の音声通話録音アプリが 5 月 11 日以降禁止となることが明らかになった (Ars Technica の記事、 9to5Google の記事、 Android Police の記事、 The Register の記事、 動画)。
変更は 4 月 6 日に公開された Google Play デベロッパープログラムポリシー更新に含まれていたのだが、「Accessibility API は、リモート通話の音声録音用には設計されておらず、そのようなリクエストを受けることもできません。」とのみ記載されており、対象が明確になっていなかった。
しかし、Google が 20 日に YouTube で公開した「Google Play Developer Policy Updates — April 2020 (ママ)」によると、対象となるのは音声通話の相手に知らせず録音することで、録音のために Accessibility API を使用するすべてのアプリは 5 月 11 日以降禁止されるという。
一方、端末にプリインストールされたデフォルトのダイヤラーアプリは通話相手の音声ストリーム取得に Accessibility API を必要としないため、対象外とのことだ。
日本向けのサポート記事にはまだ反映していないが、Apple が「macOS Server」アプリケーションの販売を 21 日に終了したと発表した (米国向けサポート記事、 Ars Technica の記事、 9to5Mac の記事、 The Register の記事)。
Apple は Mac ユーザーが主要なサーバー機能を追加料金なく利用できるよう macOS Server から macOS へ機能を移動するとともに、macOS Server ではオープンソースサービスの削除を進めてきた。これにより、macOS Server 5.12 以降に組み込まれているサービスはプロファイルマネージャと Open Directory のみとなっている。既存の macOS Server ユーザーは引き続きアプリをダウンロードしてmacOS Montereyで利用できるが、プロファイルマネージャに関しては他の MDM ソリューションへの移行を促している。
Twitterはドナルド・トランプ元大統領のアカウントを永久凍結し、トランプ氏に追随する保守派ユーザーも多く凍結したことなどから、一部の人々からは「Twitterは反保守的な偏見がある」と非難されています。このような指摘に対し、新たに「Twitterに偏見はなく、ユーザーの行動に偏りがあるのみ」とする調査結果が示されました。
# 多分保守派からツイッターが間違ってるという反論が来る
あと、僕は馬鹿なことをするのは嫌いですよ (わざとやるとき以外は)。-- Larry Wall