Windowsで動くプログラミング言語に脆弱性、引数の扱い方の穴を突いて攻撃
CERT Coordination Center (CERT/CC, Carnegie Mellon University)は4月10日(米国時間)、「VU#123335 - Multiple programming languages fail to escape arguments properly in Microsoft Windows」において、Windows上で動作する複数のプログラミング言語から引数を適切にエスケープしない脆弱性を発見したと報じた。この脆弱性はアプリケーションのコマンドインジェクションにつながるとして注意を呼びかけている。 VU#123335 - Multiple programming languages fail to escape arguments properly in Microsoft Windows 脆弱性の詳細 多くのプログラミング言語にはオ
緊急警告、圧縮ツールxzにsshdを介した不正アクセスの可能性 - 利用の中止を
Red Hatは3月29日(米国時間)、「Urgent security alert for Fedora 41 and Fedora Rawhide users」において、圧縮ツールおよびライブラリーの「xz」から悪意のあるコードを発見したとして、注意を喚起した。このコードの影響を受けるライブラリ「liblzma」により、攻撃者はsshdを介してシステムに不正アクセスする可能性がある。 Urgent security alert for Fedora 41 and Fedora Rawhide users xzが抱える脆弱性の概要 発見された悪意のあるコードは脆弱性「CVE-2024-3094」として追跡されている。この脆弱性の影響を受けるバージョンは次のとおり。 xz バージョン5.6.0または5.6.1 脆弱性(CVE)の情報は次のとおり。 CVE-2024-3094 - XZ Ut
【修正】Microsoft、WinREを更新してBitLockerの脆弱性に対処するスクリプト公開
Microsoftは2024年1月の月例アップデートの一部としてCVE-2024-20666に対処する更新プログラム「KB5034441」をリリースしているが、一部の環境では、インストール時にWindows Updateの画面にエラーコード「0x80070643」が表示され、アップデートを継続できないという問題が発生している。 Windows UpdateでKB5034441の適用時に「0x80070643」エラーが発生してしまう場合も、このスクリプトを使用すればエラーを回避して修正できる。 PowerShellスクリプトの概要 CVE-2024-20666に対処するには、WinREパーティションを更新した上で、BitLocker用にWinREの再設定を行う必要がある。今回公開されたPowerShellスクリプトは、その手順を自動化するもの。詳細は次のサポートページにまとめられている。 K
Windows 10で更新プログラム「KB5034441」に失敗する現象が発生中
Microsoftは1月9日(現地時間)に月例アップデートとして更新プログラム「KB5034441」をリリースしたが、11日時点で、複数のユーザーからこの更新プログラムのインストールがエラーにより失敗するという現象が報告されている。この問題が発生した場合、Windows Updateの画面にエラーコード「0x80070643」が表示され、アップデートを継続することができない。 更新プログラム「KB5034441」の概要 KB5034441は、WinRE(Windows 回復環境)を使用してBitLockerのセキュリティ機能をバイパスできる脆弱性「CVE-2024-20666」に対処するためのセキュリティ更新プログラム。2024年1月の月例アップデートに含まれているため、自動アップデートが有効な環境ではWindows Updateによって自動的にインストールされる。 Microsoftでは
Evernoteの無料プランが大幅縮小、移行先になりうる多機能メモアプリ7選
多機能メモアプリ「Evernote」が、無料プランの大幅な縮小を発表した。保存可能なノートの数がこれまでの10万から一気に50にまで減らされるなど、無料のまま使い続けるのは実質困難といっていい制限だ。影響を受けない有料ユーザの中にも、同社の唐突な対応を見て、将来への不安を感じる人も少なくないようだ。 今回は、そんなEvernoteからの移行先となりうるサービスを7つ紹介する。Evernoteはこの10年ほど、何かに付けて他サービスへの移行が話題に昇るが、候補として挙げられるサービスも変遷が見られる。今回は変わらず名が挙がる定番サービスはもちろん、最近名が挙がるようになったサービスもピックアップした。 なお選定にあたっては、Windows/Mac/iOS/Androidで利用できること、また何らかの形で無料プランが用意されていることを最低条件にしているが、移行先となるサービスに求める機能は、
「CPU-Z」の偽インストーラ発見、新たなサイバー攻撃に注意
Malwarebytesは11月8日(米国時間)、「Malvertiser copies PC news site to deliver infostealer|Malwarebytes」において、マルウェアを配布する新しいマルバタイジングキャンペーンを発見したと報じた。本件に関する詳細は、すでにGoogleへ報告したとしている。 Malvertiser copies PC news site to deliver infostealer|Malwarebytes Malwarebytesによると、このキャンペーンでは有名なハードウェア情報収集ツール「CPU-Z」のユーザが標的であったとされる。GoogleでCPU-Zを検索するとCPU-Zの偽の広告が表示され、正規のWindowsニュースポータル「WindowsReport.com」を複製した偽のWebサイトへ誘導されたとしている。そして
スイスで「AIお天気お姉さん」誕生、あまりのリアルさに驚きの声 - ネット「未来キタ」「本物にしか見えない」
この女性気象予報士は、Jade(ジェイド)と呼ばれるAIで生成された女性アバター。現地時間4月3日から登場し、朝の天気予報を担当しているそうだ。その自然な表情や、動きから視聴者が彼女がAIであると気付けないほどなのだとか。同局の公式YoutTubeチャンネルに、実際に彼女が天気予報を伝える映像が公開されているので、一度見てほしい。言われないければ、AIだと気づくのは難しいだろう。 まるで実在する人間のよう。スイスって人件費が高そうですしね Jadeは病気もせず、休暇もいらず、毎日決まった時間に確実に天気を伝えられるという、通常の気象予報士にはない特徴を持っている。 放送局の責任者であるPhilippe Morax氏によると、「数名の(人間の)候補者と面談を行ったが、適任が見つからなかった」という理由から、AIアバターのJadeを起用したという。またこの取り組みは、メディアのイノベーション戦
パソコンで「入力した文字が左上に出てくる」あの現象が話題に、対処法も
パソコンで入力作業をしている際に、文字が左上に出てくる現象ツイートに、注目が集まっている。あるあるですね。 Wordや検索窓に文字を入力する際に、時々おこるあの現象。さまざまな対処法があるようだ 注目を集めているのは、この世で一番憎いものとして、パソコンを利用した人なら、一度は経験のある文字が左上に出てくる現象を挙げたツイートだ。ツイートを見た人達から、この現象のさまざまな発生条件や、対処法などが続々と寄せられた。 そう、これこれ。本当に憎いよね まず現象の原因としては「日本語入力がオンの状態で、デスクトップ画面をクリックして入力すると出てくるらしいですよ」「文字の入力先がデスクトップになっているとそうなります」との声が。どうやら文字の入力先が「デスクトップ」になってしまっているのが原因のようだ。 そして対処法には「他のソフトで同じ症状出た時の対処法なのですが、IME(windows右下の
わずか2カ月で世界的に勢力を広げつつある新ランサムウェア「Black Basta」
Cybereasonは6月24日(米国時間)、公式ブログ「Cybereason vs. Black Basta Ransomware」において、2022年4月に発見された新種のランサムウェア「Black Basta」に関する分析結果を公開した。このランサムウェアはさまざまな業界を標的としており、わずか2カ月ですでに50人近くの被害者を出しているという。 Black Bastaは単に被害者のデータを暗号化するだけでなく、機密情報を盗み出し、支払いが行われない場合は盗まれたデータを公開するという二重の脅迫を行うとされている。 Black Bastaの被害に遭ったPCの壁紙 引用:Cybereason レポートによると、Black Bastaを展開する攻撃グループは、2022年6月初旬に別のマルウェア「QBot」を用いてこのランサムウェアを広めたことを発表したという。QBotは別名「Qakbot
ネットワークパケットアナライザ「ngrep」コマンドとは
pingをモニタリング sudo ngrep -q '.' 'icmp' 特定のサイトへのトラフィックをモニタリング sudo ngrep -q '.' 'host ホスト名' ブラウザをモニタリング sudo ngrep -q '^GET .* HTTP/1.[01]' SMTPをモニタリング sudo ngrep port 25 エラーをモニタリング sudo ngrep -d any 'error' port 514 HTTPサーバをモニタリング sudo ngrep port 80 タイムスタンプ(YYYY/MM/DD HH:MM:SS.UUUUUU)を併記 sudo ngrep -t -W byline port 801 プロミスキャストモードを回避 sudo ngrep -p -W byline port 80 未知のプロトコルをモニタリングする場合などに便利な方法 sudo
「SIMカードなし」のiPhoneは緊急電話できる? - いまさら聞けないiPhoneのなぜ
ハウツー 「SIMカードなし」のiPhoneは緊急電話できる? - いまさら聞けないiPhoneのなぜ 説明書を読まなくても使い方がわかるのが、iPhoneの魅力であり強みです。しかし、知っているつもりが正しく理解していないこともあるはず。このコーナーでは、そんな「いまさら聞けないiPhoneのなぜ」をわかりやすく解説します。今回は、『「SIMカードなし」のiPhoneは緊急電話できる?』という質問に答えます。 *** iPhoneは携帯電話としての機能を備えるため、ここ日本では電気通信事業法に基づく制約を受けます。電気通信事業法 端末設備等規則 第28条の2には、「移動電話端末であって、通話の用に供するものは、緊急通報を発信する機能を備えなければならない」と定められ、国内で販売されるすべての携帯電話には緊急通報機能の装備が求められます。ロック画面に「緊急」ボタンが用意され、ロック解除する
【雑学】ヘリコプターの正しい区切り方は「ヘリ・コプター」ではない!?「嘘でしょ……」「マジかよ……」と衝撃の声 - タケコプターはどうなる?
「ヘリコ・プター」が正しいということ、みなさんはご存知でしたか? リプライ欄をみると、「「嘘でしょ……」「知らんかった!! 」「区切りなんてあったのか」「マジかよ……」と驚きの声が続々と。 また、ほかにも「ドン・キホーテ」「ペレ・ストロイカ」「コスタ・リカ」「プエルト・リコ」「キリマ・ンジャロー」など、区切るところを間違えやすい言葉がたくさん集まっていました。 それにしても、「タケコ・プター」の方に衝撃を受けている奥様がとっても可愛らしく、思わず笑ってしまいましたが、普段はどんな方なのでしょうか? ツイ主のカレーとネコさんに聞いてみました。 ツイ主さんに聞いてみた ―― ほかの「日記マンガ」でも、奥様のチャーミングな一面をたくさん描かれていますが、奥様はどんな方なのか教えていただけますでしょうか。 カレーとネコさん:日記マンガで読んでいただいてる印象そのままで、見ていてとてもほっこりする人
Windows 10ミニTips(621) タスクバーに突然「天気予報」が現れた?
ある日PCを再起動したら、「タスクバーに見慣れない天気予報が現れた!」と驚いたかたがいるかもしれない。安心してほしい。これは米国時間2021年5月25日から配信が始まった更新プログラム「KB5003214」を適用したことで、タスクバーに「ニュースと関心事項」が表示されるようになったからだ。 本稿執筆時点で本更新プログラムはプレビュー扱いのため、本来はユーザー操作が加わらなければ導入されないものの、よく確認せずにインストールした可能性がある(筆者も更新内容を未確認のままインストールすることがある)。 Windows Update経由で導入可能なオプション更新プログラム「KB5003214」 本更新プログラムは立体音響関連のバグや、マルチディスプレイ環境でタッチデバイスが動作しないバグなどを修正しているが、冒頭で述べたように最大のポイントは「ニュースと関心事項」の追加だ。 「ニュースと関心事項
Telnetコマンドの替わりにOpenSSLを使う方法
昔のネットワークには欠かせなかったTelnet かつてのネットワーク管理者、HTTPSやSSHが広く普及する前のネットワークでは、Telnetコマンドはなくてはならないコマンドだった。Telnetコマンドは、ネットワークを経由してリモートからホストにログインする方法として使われていた。現在のsshで行うような役割をTelnetは担っていたわけだ。 また、Telnetはリモートログインという用途のみならず、さまざまなサーバに接続して状況を調べるコマンドとしても使われていた。Telnetコマンドを使うと、ホストの任意のサービスに接続してインタラクティブに会話を行うことができる。当然、操作するには対象サービスのプロトコルを手動で入力する必要があるが、トラブルシューティングを行うにはうってつけのツールだった。多少の工夫をすれば、Telnetコマンド経由で対話処理を自動化することもできる。 Teln
Microsoft、パスワードの有効期限のベストプラクティスを見直し
ユーザーが実践できているかどうかは別として、サイバー攻撃で悪用されにくいパスワードを作成・運用するためのベストプラクティスはいくつもある。そのひとつに「パスワードを定期的に変更する」がある。IT部門が存在する企業では、ユーザーに定期的なパスワードの変更を強要しているケースも少なくない。しかし、このベストプラクティスはしばらくすると候補から外れるかもしれない。 The Hacker Newsは5月10日(米国時間)、「Is it still a good idea to require users to change their passwords?」において、企業はおそらく初めて、パスワードの定期的な変更を要求することがよいアイデアであるかを検討する必要に迫られていると伝えた。なぜなら最近、Microsoftが同社のパスワードに関するベストプラクティスを変更したためだ。同社の最新のパスワー
Linuxカーネルコード、1行の文字制限を80字から100字まで緩和
Linuxカーネルの開発者であるLinus Torvalds氏は5月29日(米国時間)、「LKML: Linus Torvalds: Re: clean up kernel_{read,write} & friends v2」において、ソースコードの1行当たりの文字数を80までとする現在の制限によって生まれる過度の改行はソースコードにとって良くないことであり、さまざまな問題を引き起こすと指摘した。 同氏はメールの中で次のような意見を述べ、制限を緩和する方向の意見を示している。 grepのようなコマンドは基本的に行単位で検索を行うので、過度に改行されたソースコードだと扱いにくい。 すでに多くのユーザーが80カラムの幅のターミナルを使用せず、より広げて使用している。同様の理由で、高さも25行よりも広げて使っている。 少数のユーザーが小さいターミナルウィンドウを使用しているという理由で、80カラ
ゼロからはじめるPython(58) 読み放題のネット小説をネガポジ判定で評価してみよう
最近では、古今東西、いろいろな小説がオンラインで公開されている。それらの小説を読み始めたら時間がいくらあっても足りないほどだ。そこで、今回は、簡単なネガポジ判定の手法を使って、その小説を読む前に、小説を解析して好きな小説の傾向を掴む方法を紹介しよう。セットアップ不要でブラウザで使えるPython環境の実行環境Colaboratoryを使うので、気軽に形態素解析や自然言語解析の初歩を実践してみよう。 ネット小説は読み放題! 今は小説好きには堪らない時代だ。明治以前の文豪たちの作品であれば、多くは著作権が切れているので「青空文庫で読み放題で、オンライン小説の投稿サイトの「小説を読もう!」なら70万を超えるタイトルが読み放題だ。筆者も小説が好きなので、時々読んでいるのだが、とにかくいろいろな種類があるので、どれを選んで良いのか悩むほど。そこで、今回は、ネガポジ判定の手法を利用して、小説を簡単に解
AIで野菜の市場価格を予測するアルゴリズム開発
NEDOは11月19日、「人工知能技術適用によるスマート社会の実現」事業で、植物工場での野菜栽培過程や流通でのビッグデータ収集と人工知能(AI)を活用した需給マッチングにより、植物工場での野菜の廃棄や販売機会の損失の削減に取り組んでおり、同事業において、ファームシップと豊橋技術科学大学がAIを活用した野菜の市場価格の予測アルゴリズムを開発したと発表した。 植物工場は、天候に左右されず野菜などを生産できることに加え、露地栽培に比べて狭い耕地での生産が可能なことから生産量は近年著しく伸びているが、植物工場の野菜需要は露地野菜の供給量の変動に大きく左右されるため、生産した野菜の廃棄や販売機会の損失が生じ、本来は効率的な生産が可能であるにもかかわらず、その特徴を活かせていなかったという。 これらの課題を解決するために、NEDOは「人工知能技術適用によるスマート社会の実現」事業を行っており、具体的に
実行してはいけないLinuxコマンド(18) カーネルをパニックさせる「キル・スイッチ」を実行してみる(1)
キル・スイッチとは? オペレーティングシステムには、システムを終了するためのコマンドや方法が用意されている。これらを実行すると、ベアメタルで動作していれば、そのままマシンの電源がOFFになる。実はこれら以外にも、オペレーティングシステムにはキル・スイッチと呼ばれる処理に相当するコマンドや仕組みが用意されていることがある。この機能はLinuxにも存在している。 キル・スイッチは故意にカーネルをパニックさせるためのメカニズムだ。UNIX系のオペレーティングシステムではカーネルが何らかの問題で想定外の狂った状態になることをパニックと呼ぶことがあり、カーネルがパニックしたらもうシステムはおしまいだ。再起動でもしない限り、正常な状況に復帰することはほとんどない。 では、なぜこの状況を故意に発生させる方法が用意されているのかということになるのだが、多くの場合、デバッグや開発目的で用意されている。開発時
2019年人気&嫌われプログラミング言語ランキング- Stack Overflow
開発者が好むプログラミング言語としては、Pythonが4年連続で第1位になった点が注目される。また、使いたいプログラミング言語第1位だったPythonは好まれているプログラミング言語としても第2位につけており、開発の現場において人気と実力の双方を固めつつあることがわかる。 プログラミング言語人気ランキング - 資料: Stack Overflow 好きなプログラミング言語 - 資料: Stack Overflow 嫌いなプログラミング言語 - 資料: Stack Overflow 使いたいプログラミング言語 - 資料: Stack Overflow 開発者が最も嫌いなプログラミング言語はVBAが1位、Objective-Cが2位につけた。開発者はVBAやObjective-Cを使った開発やメンテナンスを嫌っており、こうしたプログラミング言語を使う意向が低下している可能性がある。
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
