15817808
submission
headless 曰く、
IKEA の TRÅDFRI (トロードフリ) シリーズ スマートホーム製品 2 点で脆弱性が見つかり、発見者の Synopsys Cybersecurity Research Center (CyRC) が詳細を報告している
(The Register の記事)。
CVE-2022-39064 はスマート電球 (LED1732G11) の脆弱性。不正な IEEE 802.15.4 (Zigbee) フレームを 1 回送ると電球が点滅を始め、同じフレームの送信を複数回繰り返すとファクトリーリセットが実行されてしまうという。これにより電球は Zigbee ネットワークに関する設定情報や輝度設定を失い、最大輝度で点灯するほか、ユーザーはアプリやリモコンでの操作ができなくなる。
CVE-2022-39065 はすべての IKEA Home Smart 製品をアプリから操作可能にするゲートウェイデバイス (E1526) の脆弱性。こちらは不正な Zigbee フレームを 1 回送ることでゲートウェイが応答しなくなり、接続したデバイスをアプリやリモコンで操作できなくなるというものだ。
いずれも不正な Zigbee フレームは認証のないブロードキャストメッセージであり、電波の届く範囲内の脆弱なデバイスすべてに影響する。電球はネットワーク設定をやり直せば再び使用可能になり、ゲートウェイは電源を入れなおすことで再び使用可能になるが、攻撃者は同じ攻撃をいつでも再び実行できる。
CyRC ではこれらの脆弱性を昨年 6 月に報告しており、今年 6 月には IKEA が修正ソフトウェアをリリースしている。ゲートウェイはソフトウェアをバージョン 1.19.26 以降に更新することで脆弱性が修正されるが、電球用の修正を含むソフトウェアバージョン V-2.3.091 では一部の不正フレームにのみ対応しており、完全には修正されないとのこと。
なお、IKEA ウェブサイトの製品情報にはこれらの製品型番が記載されておらず、商品番号はまったく異なる形式なので対象製品の特定は困難だが、LED1732G11 はオーストリアでの製品カタログ (PDF) に E27 口金との情報があるため国内で IKEA が販売したことはないと思われる。一方、E1526 は取扱説明書 (PDF) に日本語版が含まれており、おそらくこちらのゲートウェイ製品とみられる。
15817810
submission
headless 曰く、
Apple と Google の公式アプリストアで Facebook のログイン情報を盗み取ろうとするアプリが今年 400 本以上見つかったとして、Meta がユーザーに注意喚起している
(Meta のニュース記事、
The Verge の記事、
Neowin の記事、
9to5Mac の記事)。
これらのアプリは便利なツールや楽しいゲームのふりをしてインストールさせ、実行に必要だとして Facebook へのログインを要求するという。アプリストアでの否定的なレビューを隠すため偽レビューも投稿する。一度ログインを許可してしまうと、攻撃者はアカウントへのフルアクセスが可能となり、友達にメッセージを送ったり、個人情報にアクセスしたりすることも可能になる。
そのため、ソーシャルメディアのログイン情報を要求するアプリは疑ってかかるべきであり、アプリをダウンロードする前に否定的なレビューを含めてアプリの評価を確認すべきであるとのこと。また、約束している機能が本当に提供されるかどうかの確認も必要だ。
悪意あるアプリを万が一ダウンロードしてソーシャルメディアなどのログイン情報を入力してしまった場合、アプリを削除してパスワードをリセットし、2 要素認証 (認証アプリを使用するのが望ましい) やログインアラートを有効化するよう Meta では推奨している。
Meta が発見した悪意あるアプリは Android アプリが 355 本、iOS アプリが 47 本。フォトエディターが 42.6 % と多く、ビジネスアプリ (15.4 %) とスマートフォン活用ツール (14.1 %)、ゲーム (11.7 %)、VPN (11.7 %) が続く。Apple と Google には記事公開前に連絡しており、App Store と Google Play ではすべてのアプリが削除済みとのことだ。
15817814
submission
headless 曰く、
Avast の DLL による Windows 版 Firefox のクラッシュが多数報告され、Mozilla が DLL をブロックする処置を行った
(Bug 1794064、
Ghacks の記事)。
問題の DLL は aswjsflt.dll / aswjsflt64.dll で、JavaScript をブロックするフィルターライブラリのようだ。修正を担当した Gabriele Svelto 氏によれば、Firefox に同梱した Mercurial 実行ファイルを Avast がランサムウェアと誤検知したことが原因だという。バージョン 18.0.1477.0 では問題が解消されているとみられることから、バージョン 18.0.1473.0 までのバージョンを対象にブロックしたとのこと。
修正済みの Firefox 105.0.3 は 7 日にリリースチャネルで公開された。リリースノートでは修正点として Avast または AVG のアンチウイルスソフトウェアをインストールした Windows ユーザーのクラッシュ頻発を緩和すると説明している。
15817817
submission
headless 曰く、
Microsoft が Dev チャネルで 6 日にリリースした Windows 11 Insider Preview ビルド 25217 では、サードパーティウィジェットの作成とローカルでのテストが可能になっている
(Windows Insider Blog の記事、
ウィジェットの概要、
Softpedia の記事、
Ghacks の記事)。
サードパーティウィジェットは WinAppSDK 1.2 Preview 2 を使用するもので、パッケージ化された Win32 アプリ用のウィジェットを作成できる。実際にサードパーティウィジェットを作成・テストするには、「設定 > プライバシーとセキュリティ > 開発者向け」で「開発者モード」をオンにする必要がある。また、Widgets Board バージョン 521.20060.1205.0 以降を入手するため、Dev チャネルで最新の Insider Preview ビルドが必要だ。
現在のところサードパーティウィジェットを実行可能なのは Dev チャネルのビルドのみだが、なお、WinAppSDK 1.2 が一般リリースされたのちには、リリースビルドの Windows 11 ユーザーが Microsoft Store でサードパーティウィジェットを入手可能になるという。なお、PWA 用のサードパーティウィジェットは Microsoft Edge 108 の一部としてサポートされる予定とのことだ。
15818282
submission
あるAnonymous Coward 曰く、
咳 53 57 89 02 分かりますか?
15818576
submission
15818650
submission
15818673
submission
15818796
submission
15818816
submission
headless 曰く、
2022 年のノーベル経済学賞は米国のベン・S・バーナンキ氏とダグラス・W・ダイアモンド氏、フィリップ・H・ディビグ氏が受賞した。授賞理由は銀行と経済危機に関する研究
(プレスリリース、
一般向け解説記事、
専門的解説記事)。
3 氏は 1980 年代初め、銀行の存在意義や、経済危機下において銀行の脆弱性を緩和する方法、銀行破綻が経済危機を悪化させる仕組みを解明する現代的な銀行システム研究の基礎を築いた。
ダイアモンド氏とディビグ氏は、いつでも自由に預金を引き出したい預金者と長期の投資を望む借り手を銀行が結びつける仕組みを示した。自由な預金引き出しを可能にすると銀行は破綻の噂による取り付け騒ぎに弱くなるが、両氏は政府による預金保険により脆弱性を緩和する仕組みも示した。
また、ダイアモンド氏は預金者と借り手の仲介者として機能する銀行に借り手の信用度を評価し、貸付金が優良な投資に用いられることを確実にするといった社会的に重要な役割を担えることも示している。
バーナンキ氏は 1930 年代の大恐慌を分析し、銀行への取り付けが経済危機をより深刻にする決定的な要素であることを示した。銀行が破綻すれば借り手に関する情報が失われ、すぐには再現できない。これにより、預金者と生産的な投資を結びつける社会の能力が深刻に低下する。
今年の受賞者の識見は、深刻な経済危機と高額な財政援助の両方を避ける我々の能力を改善したとのことだ。
15818835
submission
15818865
submission
15818899
submission
nagazou 曰く、
PC Watchの記事によれば、多くのものが値上げされる傾向にある中、半導体メモリ価格の値下がりが続いているという(PC Watch)。調査会社のTrendForceのDRAMとNANDフラッシュメモリの価格予測(前四半期との比較値)によれば、2021年DRAM価格は第1四半期から第3四半期まで3期連続で上昇していた。ところが、第4四半期以降は、4四半期連続で下がり続けているそうだ。今年第3四半期の価格は昨年第3四半期と比べ0.73倍にまで低下。続く第4四半期も15%前後のかなり大きな値下がりになるとTrendForceは予測しているとのこと。なお半導体メモリ大手の韓国サムスン電子も2019年以来の減益となったことが報じられている(Bloomberg)。
