headless 曰く、

1月ほど前、Googleは一般ユーザー向けのAndroidアプリでユーザー補助サービスの使用を一切認めない旨の通知をアプリ開発者に送り、30日以内の対処を求めていると報じられたが、この方針が緩和されるようだ(Redditのスレッド、 Ars Technicaの記事)。

Redditユーザーが公表したGoogleからの電子メールによれば、現在Googleではユーザー補助サービスの責任ある革新的な使用について評価を行っており、評価が完了するまで30日間の期限は一時停止するとのこと。また、ユーザー補助機能を必要とするユーザー向け以外の機能で「BIND_ACCESSIBILITY_SERVICE」パーミッションを使用する場合、ユーザーの行動を監視する理由や、ユーザー補助サービスの各機能を必要とするアプリの機能の説明をパーミッション宣言の「android:description」に追加するよう求めている。

さらに、ユーザー補助サービスの責任ある革新的な使用をしていると考えるアプリの開発者に対しては、それがどのようにユーザーの役に立つのかを返信してほしいとも述べている。このようなフィードバックは、Googleがユーザー補助サービスの評価を完了するうえで助けになるとのことだ。

headless 曰く、

Google Project Zeroのセキュリティリサーチャー、Ian Beer氏の謎めいたツイートに、iOS脱獄コミュニティがざわついているようだ(Motherboardの記事、 9to5Macの記事、 Softpediaの記事、 The Next Webの記事)。

ツイートの内容は「iOS 11のカーネルセキュリティの調査に興味があるなら、iOS 11.1.2以前のデバイスを調査専用に確保しておくように。もうすぐPart I (tfp0)をリリースする」といったものだ。Motherboardによれば「tfp0」は「task for pid 0」の略でカーネルタスクポートを意味し、OSコアの制御が可能になるものだという。そのため、iOS 11の脱獄が可能なエクスプロイトが公開されるのではないかと期待されている。

iOSの脱獄はバージョンごとに難易度が増しており、現在一般に入手可能なツールで脱獄できるのはiOS 10.2までとなっている。11月に韓国・ソウルで開催されたPoC 2017でTencent Keen LabのLiang Chen氏がiOS 11.1.1の脱獄をデモしており、ツールの使用手順も公開されているが、ツール自体はまだ公開されていない。

Beer氏は最も多くiOSの脆弱性を発見しているセキュリティリサーチャーの一人。iOS 11.2で修正された14件の脆弱性のうち、5件(CVE-2017-13847 / CVE-2017-13861 / CVE-2017-13865 / CVE-2017-13867 / CVE-2017-13876 )を発見したのがBeer氏だ。 なおiOS 11.2では、iOS 11.1で未修正だった旧モデルのKRACK脆弱性(CVE-2017-13080)が修正されている。

headless 曰く、

正規のAndroidアプリの署名を維持したまま内容を改変できるというAndroidの脆弱性「Janus」を発見者のGuardSquareが解説している(GuardSquareのブログ記事、 BetaNewsの記事、 The Registerの記事)。

Androidのアプリケーションパッケージ(APK)ファイルはZIPファイルであり、ZIPエントリの外側に任意のデータを挿入できる。しかしJAR署名スキームではZIPエントリのみを使用して署名の整合性を確認するため、ZIPエントリの外にデータが挿入されても署名は有効のままとなる。一方、Dalvik実行可能ファイル(DEX)は末尾に任意のデータを追加できる。そのため、DEXファイルの末尾にAPKファイルをつなげて1つのファイルにすることでDEXファイルとしてもAPKファイルとしても有効なファイルとなり、署名も維持される。

AndroidランタイムはAPKファイルからDEXファイルを抽出して実行するが、ファイルの種類を識別する際にDEXヘッダーを見つけるとDEXファイルとして実行してしまうのだという。Androidでは署名が異なるAPKファイルでインストール済みアプリをアップデートすることはできないが、悪意あるDEXファイルを正規のAPKファイルと組み合わせることで、正規のアップデートとしてインストールさせることが可能となる。こういったAPKファイルがGoogle Playで配布されることはないものの、ユーザーをだましてインストールさせることで、高い権限を持つシステムアプリを置き換えたり、バンキングアプリを偽物に置き換えたりといった攻撃が可能だ。

Android 5.0以降がJanusの影響を受けるが、Android 7.0以降で利用可能なAPK署名スキームv2ではAPKファイル全体が署名の検証対象になるため、v2署名を使用したアプリは影響を受けない。GuardSquareではこの問題を7月31日にGoogleへ報告しており、12月のAndroidセキュリティアップデートでCVE-2017-13156として修正されている。

st1100 曰く、

小田急は、12月5日に新型ロマンスカー70000系GSEを発表した。

発表資料
特設サイト
製造決定の発表資料(昨年10月)
ITmediaの記事

展望席付き、20mボギー車7両編成、2編成
営業運転開始　1編成が2018年3月中旬から（もう1編成は2018年度以降）

ロマンスカーといえば展望席だが、展望性は、イマイチだった先代のVSEよりかなり改善されている模様。
VSEでは、展望区画の側面窓が狭く、先頭の角には柱というより壁があり、展望が効くのは最前列だけであった。
今回発表されたGSEでは、
NSE、LSE、HiSEでは、正面窓が正面中央に柱が来るものの、曲面ガラスで側面第一柱は最前列付近にあり、2、3列目の席でも広く展望が効いていた。
今回発表されたGSEでは、VSE同様に正面中央の柱を廃しており(デザイナーの感性というわけか)、正面角の柱を強くする必要を生じているが、VSEのような壁ではなく柱の体を保っているようで展望性が期待できる。
他に展望席のみならず、前席で窓の天地を非常に高く確保されている。

メカ的には、「電油圧式 フルアクティブサスペン ショ」を全車に搭載(在来線初)が特記される。フルアクティブは大したことない気もするが・・・「画期的な軽量高性能新特急車」SEで新幹線につながる技術を確立し、展望付きNSEでも高速運転を狙い(青2灯の高速信号での運転もあった)、以後路線容量のひっ迫から高速運転はできなくなったが、VSEで連接復活かつ車体傾斜というびっくりドッキリ仕様・・・そんな小田急の技術の心意気が感じさせられる。
愛称については、実は今年の春から筒抜けになっていたらしい(商標出願・登録情報)。

VSEより展望性に優れる旧型の7000系は、1980年の登場で40歳に届かずに引退することになる。しかし、今回のGSEの登場で即時廃止ではなく、GSEの第2編成が遅れて投入されることから、VSEからGSEまでの各世代が一緒に走る猶予期間が設けられた。

あるAnonymous Coward 曰く、

木城ゆきとによるマンガ「銃夢」がハリウッドで実写映画化されるという話は10年ほど前から出ていましたが、ようやく形になった予告編が公開されました。タイトルは「銃夢」の英題「Alita: Battle Angel」となっていて、2018年夏に全米公開予定です。

情報元へのリンク

情報元へのリンク

情報元へのリンク

headless 曰く、

アンディ・ルービン氏が8日、Essentialに復帰したそうだ(Recodeの記事、 The Vergeの記事、 Neowinの記事)。

ルービン氏は11月下旬、一身上の都合によりEssentialを休職すると従業員に伝えたと報じられている。しかし、Googleの重役時代に部下の女性と不適切な関係にあったとするThe Informatonの記事の内容がルービン氏側に事前通知された直後だったため、何らかの関連があるとの見方も出ていた。

ただし、ルービン氏側は不適切な関係を否定し、Google時代の恋愛関係はすべて合意に基づくものだったと主張しているという。また、Essentialの担当者によれば、ルービン氏が休職したのは11月のもっと早い時期だったそうだ。なお、ルービン氏はベンチャーキャピタルPlaygroundのCEOも務めており、同社はEssentialと同じ場所にオフィスがある。ルービン氏はPlaygroundを休職しなかったため、完全にEssentialから離れていたわけでもないようだ。

あるAnonymous Coward 曰く、

人気ロックバンドGLAYが、結婚式での楽曲使用について著作隣接権を無償提供すると発表した（Yahoo!ニュース、GLAYの発表）。

これだけでは話的に分かりにくいが、背景には2014年に結婚式での音楽利用に特化した著作権管理団体が活動を開始したことがあると思われる（過去記事）。

結婚式での音楽利用に関しては、あらかじめ式場側に使用する音楽を渡しておく必要がある。多くの場合はCD-RやUSBメモリ等に楽曲データを複製して渡すことになるのだが、無断でこれを行うと著作隣接権の侵害となるとして著作権使用料の徴収を代行するという「一般社団法人音楽特定利用促進機構（ISUM）」が2014年に活動を開始した。しかし、同機構が管理対象としている楽曲は現時点で約1万曲と少ない。トラブルを避けるため、同機構が管理している楽曲以外は使用を断る結婚式場も少なくないようで、そのため自分の好きな曲を式で流せない、という問題が発生していた。

GLAYの楽曲についても、同機構の管理楽曲には含まれていない。今回の発表でも、「弊社は特定の音楽利用促進機構とは契約しておりません」とされている。そのためか、GLAYの事務所側に問い合わせがあったようだ。GLAY側は「結婚式という人生の素晴らしい舞台で自分達の曲を使用してもらえる事は大変喜ばしいことであり、それであれば自分達は無償提供したい」とし、結婚式において著作隣接権は行使しないという判断になったようだ。

なお、BGMとして使用することに対する著作権使用料は必要となっているが、これについては会場がJASRACと包括契約を行っていれば別途支払いは不要ではないかと思われるが（ライブハウスやイベントホールなどと同じ扱い）、こちらについての判断はJASRAC側に聞かないと分からない。ただ、少なくとも、ISUM発足時の記事のコメントで懸念されていたような、高額な複製使用料金を取られることはなさそうだ。

headless 曰く、

Creators Update以降のWindows 10では、初回起動時のOOBE(Out of Box Experience)でCortanaがセットアップの最終段階をナビゲートしてくれる。しかし、数十台のWindows 10マシンを一気にセットアップしようとすると大変な騒ぎになるようだ(Windows Centralの記事、 動画)。

OOBEのCortanaはデフォルトで有効になっており、無効化やミュート操作はOOBEが始まるまで実行できない。そのため、セットアップを開始したまま放置しているといきなりしゃべりだして驚くこともある。スピーカー外付けの場合は取り外しておく、スピーカー内蔵の場合はヘッドフォンを接続しておく、というのが手軽な対策だろう。

動画ではWindows 10がプリインストールされたノートPCを40台以上(少なくとも30台は確認できる)並べて起動しており、Cortanaが次々としゃべりだして雑踏のような喧騒感に包まれていく。スラドの皆さんは同様の経験をしたことがあるだろうか。