headless 曰く、

MicrosoftがWindowsのトラブルシューティングツール「Sysinternals」ツールのLinuxへの移植を開始したそうだ(MicrosoftのDavid Fowler氏のツイート、 BetaNewsの記事、 Softpediaの記事)。

第一弾の「ProcDump for Linux」はプロセスを監視し、指定した条件に従ってコアダンプを出力するコマンドラインツールだ。現在のところLinuxカーネルバージョン3.5以降が必要となり、Windows版の全機能をサポートしているわけではないとのこと。ソースコードはGitHubで公開されており、ライセンスはMIT Licenseとなっている。

90 曰く、

Portsmashというコードネームが付けられているのだが、はたして脆弱性というべきかどうか。

情報元へのリンク

headless 曰く、

Apple T2 Securityチップ(T2チップ)を搭載した最新のMacではLinuxが起動できないという話が出ている(Phoronixの記事、 Neowinの記事、 Softpediaの記事)。

根拠とされるのはT2チップのセキュリティに関するAppleのホワイトペーパー(PDF)の記述だ。これによるとT2チップ搭載MacのUEFIファームウェアにはWindowsのセキュアブートに使われる「Microsoft Windows Production CA 2011」証明書が含まれており、Boot Camp Assistantを使用してこの証明書を信頼するよう設定することで、Windowsのセキュアブートが可能となる。

しかし、Microsoftのパートナーが署名に使用する「Microsoft Corporation UEFI CA 2011」証明書は現在のところ信頼できる証明書としては扱われないのだという。そのため、この証明書で署名した各種LinuxのブートローダーはT2チップ搭載Macのセキュアブート(安全な起動)で使用できないことになる。

一方、Appleのサポートドキュメントによれば、T2チップ搭載Macの安全な起動には「セキュリティなし」というオプションがあり、これを選択すると起動ディスクの検証が行われなくなる(セキュアブート無効)と記載されている。そのため、このオプションを選択すればLinuxを起動できるように読めるが、実際に試してみたところ起動できなかったとの報告も出ている。

現在のところ、T2チップを搭載するMacはiMac Proと2018年モデルのMacBook Pro、7日発売の新Mac miniおよび新MacBook Airとなっている。MacBook ProではT2チップ搭載以前のモデルでもドライバーの関係でLinuxが正常に動作しないことが報告されているが、旧Mac miniでは特に問題は報告されていなかったようだ。

headless 曰く、

Tencentは5日、中国国内で同社のゲームをプレイする全ユーザーに対し、公安データベースを使用した本人確認を義務付ける計画を明らかにした(Tencentの発表、 South China Morning Postの記事、 The Vergeの記事、 VentureBeatの記事)。

Tencentでは未成年者の健康維持のため、2億人がプレイしているという人気モバイルゲーム「王者荣耀」のプレイ時間制限を2017年から実施している。本人確認は未成年者の保護を強化するためだといい、9月には新規ユーザーの本人確認を義務付け、10月には北京をはじめ9都市でユーザー全員の本人確認を開始した。11月1日以降は対象を中国全土に拡大し、11月末までに全ユーザーの確認を完了する計画とのこと。

対象ゲームの拡大は王者荣耀での試みが順調に進んでいるからのようで、年内に人気ゲーム9本への導入を完了し、2019年には他のモバイルゲームおよびPCゲームに拡大する。なお、制限時間は12歳以下が1日1時間まで(21:00～8:00はプレイ禁止)、13歳以上の未成年が1日2時間まで、制限時間を超えると強制ログアウトになるとのことだ。

90 曰く、

興味深いことに発見者はこの脆弱性を0-dayという形で公開したことについて、バグ報奨金に関して脆弱性発見者がベンダと共謀して公開を遅らせること、支払い基準が不透明なこと、(HeartbleedやMeltdownのように)名前をつけて大々的に騒ぐことなどへの不満を綴っている。

脆弱性の悪用でホストのring 3権限が取得でき、適当な別の脆弱性と組み合わせることができる。仮想デバイスをPCnetに変更するかNAT以外のモードに切り替えることで回避できる。

情報元へのリンク

あるAnonymous Coward 曰く、

太陽系外から飛来した小惑星と2017年に認定された「オウムアムア」について、米ハーバード大学の研究者らが、地球外生命体から送り込まれた「探査機」である可能性に言及し、注目を集めているという。

情報元へのリンク

headless 曰く、

世界200万件以上のWebサイトにトラッキングコードを設置してブラウザーやOSのシェアを集計するStatCounterがサイバー攻撃を受け、暗号通貨取引サイトGate.ioのユーザーをターゲットにするスクリプト改変が行われていたそうだ(WeLiveSecurityの記事、 Gate.ioの発表、 The Registerの記事、 Softpediaの記事)。

改変されたのは「www.statcounter.com/counter/counter.js」というファイルで、悪意あるコードが追加されていたという。悪意あるコードの内容としては、表示中のURLに「myaccount/withdraw/BTC」が含まれている場合、StatCounterと似たドメイン名の「statconuter.com」からビットコインを盗み出すスクリプトを追加するといったものだ。

悪意あるコードはStatCounterを使用する200万件以上のサイトに埋め込まれただけでなく、StatCounterのWebサイトにも埋め込まれていたとみられるが、「myaccount/withdraw/BTC」を含まないURLへのアクセス時にユーザーが攻撃を受けることはない。ESETの調べによると、「myaccount/withdraw/BTC」を含むURLがある暗号通貨取引サイトはGate.ioのみだという。そのため、Gate.ioのユーザーをターゲットにした攻撃とみられている。

ESETによれば改変が行われたのは11月3日で、6日にESETから報告を受けたGate.ioはStatCounterの使用を中止した。counter.jsから悪意あるコードは既に削除されているが、現在のところStatCounterからの発表は特に出ていないようだ。

情報元へのリンク

あるAnonymous Coward 曰く、

本質的な問題は数ではない。最大の疑問は、なぜ人手不足がこんなに長く続いているのかということだ。その答は、初等的な経済学で明らかだ。賃金が十分上がらないからである。絶対的な人手不足は、市場経済では起こりえない。労働市場が機能していれば、人手不足（労働の過少供給）になったら賃金が上がり、労働供給が増えて需要と一致するはずだ。
#原始的な経済学ならそうでしょうけど少子化でそもそも潜在的な労働力が減っているのでどうしようもない

情報元へのリンク

あるAnonymous Coward 曰く、

日経新聞によると、Appleが10月に発売したiPhone XRの製造を委託している台湾の鴻海（ホンハイ）精密工業と和碩聯合科技（ペガトロン）に、増産を中止するよう要請したという。ホンハイはもともとXRのために60近い組み立てラインを用意していたが、最近はそのうちの45ラインほどしか稼働しておらず、アップルがこれ以上の増産は不要と伝えたとしている。

これはホンハイの生産台数が一日あたり10万台少なくなることを意味し、当初見通しに対し20から25％少ない計算になるという。ペガトロンも同様の対応を迫られており、今後の設備増強の是非についてAppleの指示を待っているとしている。

headless 曰く、

ハードウェアベースでデータの暗号化を行う自己暗号化SSDの中には、パスワードを知らない攻撃者がデータを復元できてしまう製品があるというオランダ・ラドバウド大学の研究結果が発表された(ラドバウド大学のニュース記事、 ラドバウド大学によるアドバイザリー: PDF、 論文ドラフト: PDF、 The Registerの記事)。

研究で使われた自己暗号化SSDはCrucial(Micron)のMX100/MX200/MX300(全フォームファクター)とSamsungの840 EVO/850 EVO(SATA)およびT3/T5(USB)。条件次第だったモデルもあるものの、全モデルが2件の脆弱性(CVE-2018-12037/CVE-2018-12038)のいずれか、または両方の影響を受けたという。また、論文でテストされていない製品の中にも脆弱性の影響を受けるものが存在する可能性は高い。

CVE-2018-12037は、自己暗号化SSDにユーザーが設定するパスワードと暗号鍵が結び付けられていないことによる脆弱性だ。そのため、任意のパスワードを受け付けるようSSDのファームウェアを改変することなどにより、データの復元が可能となる。この脆弱性は上述の全モデルが影響を受けるが、840 EVO/850 EVOはATAセキュリティモードに設定され、マスターパスワードのセキュリティレベルが「High」になっている場合のみ影響を受けるとのこと。

CVE-2018-12038は、ディスクの暗号化鍵ハッシュの保存場所がウェアレベリングされたストレージであることによる脆弱性だ。ウェアレベリングされたストレージでは同じ論理セクターを指定しても異なる物理セクターに書き込まれる。ユーザーがパスワードを設定した際、パスワード設定前のハッシュが上書きされずに残るため、古いハッシュを復元すればデータも復元可能となる。この脆弱性は840 EVOのみが影響を受けたそうだ。

さらに、Opal準拠の自己暗号化SSDでは、Windows BitLockerがデフォルトでハードウェアベースの暗号化を使用するため、BitLocker使用時にも脆弱性の影響を受ける点が指摘されている。グループポリシーの「コンピューターの構成→管理用テンプレート→Windowsコンポーネント→BitLockerドライブ暗号化→固定データドライブ」の「固定データドライブに対するハードウェアベースの暗号化の使用を構成する」を「無効」にすることでハードウェアベースの暗号化を無効化できるが、既存のドライブは再フォーマットしなければ再暗号化されることはないとのこと。

SamsungではT3/T5について脆弱性を修正したファームウェアを提供しており、内蔵タイプについては利用中のシステムと互換性のある暗号化ソフトウェアの利用を推奨している。

あるAnonymous Coward 曰く、

英マンチェスター大学は11月2日(現地時間)、世界最大規模となる、脳の構造を模した“ニューロモーフィック”スーパーコンピュータのマシンの稼働開始を発表した。　同プロジェクトでは最終的に、人の脳の1%の規模に相当するニューロン(10億個)をリアルタイムでモデル化することを目指している。

情報元へのリンク

あるAnonymous Coward 曰く、

1ドルのビットコインを「採掘（マイニング）」するのに必要なエネルギー量は、同価値の銅、金、プラチナ鉱山の採掘に必要なエネルギーの2倍以上に当たるそうだ。米オークリッジ科学教育研究所の研究者によれば、1米ドル相当のビットコインの採掘に必要なエネルギーは、約17MJ（メガジュール）なのに対して銅は4MJ、金は5MJ、プラチナは7MJのエネルギーで採掘できる。ビットコイン以外の仮想通貨では、Etherealが9MJ、Litecoinが15MJ、Moneroが11MJほどとなっている。仮想通貨の採掘には実物の貴金属の採掘以上のエネルギーを要することが示されたことになる。

時事通信によれば、2018年にビットコインの採掘に使われるエネルギー量はデンマーク一国の年間消費量を上回る見通しという。デンマークが2015年に消費した電力量が314億キロワット時だったが、ビットコインの採掘には今年、7月1日時点ですでに約301億キロワット時の電力が消費されているとしている（The Guardian、時事通信、Slashdot）。

hylom 曰く、

古河電工および同社子会社の古川ASが、器官系業務システム構築プロジェクトの遅延を理由にワークスアプリケーションズを提訴した。古河電工は損害賠償50億4644万3971円と遅延損害金を求めている（古河電工の発表）。

ワークスアプリケーションズ側はこれに対し「同プロジェクトの遂行過程で、古河電工と当社の間で見解の相違が生じ、当社としては古河電工の主張は受け入れ難いものでありましたが、プロジェクト中止の申し入れを受けた以降も双方の見解の相違を解決するべく真摯に対応して参りました」とし、自社の主張・対応について正当なものだとしている（ワークスアプリケーションズの発表）。

hylom 曰く、

Tencentが中国内で提供しているすべてのゲームにおいて、18歳未満のプレイヤーに対するプレイ時間制限を実施すると発表した（PC Watch、ITmedia、Game*Spark）。

中国政府では健康への悪影響があるとしてゲームなどに対する圧力を強めており、これに対応する方針と思われる。1日あたりにプレイできる時間は12歳以下が1時間、13歳以上18歳未満が2時間までで、さらに12歳以下は21時から8時まではプレイできないという制限もある。

Tencentではゲームをプレイする際のアカウントへの実名登録を進めており、政府のデータベースとの照合も行われているという。また、一部では「顔認証システム」も導入されているそうだ。

hylom 曰く、

AMDが次世代CPUおよびGPUの予告を行なった。これらはTSMCの7nmプロセスで製造されるという（4Gamer）。

プロセスに関する技術的な情報はPC Watchが詳しいが、Intelは10nmプロセスでの量産に苦労しており、AMDは採用するプロセス技術でIntelに先んずたと主張している。Intelの10nmプロセスとAMD/TSMCの7nmプロセスは仕様が異なるため直接は比較しにくいが、Intelの10nmプロセスはAMD/TSMCの7nmプロセスと比べて配線間隔が若干狭いために苦労しているようだ。

なお、予告された新製品のうちサーバー向けCPU「EPYC」の新モデルは2019年、GPU（「第2世代Vega」）についてはまずはワークステーション/サーバー向けモデルを2018年内にリリースするという。

あるAnonymous Coward 曰く、

セキュリティ研究者であるYushi Laing氏と協力者のAlexander Kochkov氏は、Microsoft Edgeブラウザに関する二つの脆弱性を発見した。Yushi Liang氏は、Edgeブラウザへのゼロデイ攻撃の可能性を訴えている。彼らは、SensePostのWadi Fuzzerユーティリティの助けを借りてゼロデイバグを発見したという。Yushi Laing氏は、概念実証としてブラウザからWindows Calculatorアプリを表示した画像を公開している。

脆弱性の発見者に対して報酬を出す制度があるが、ウェブブラウザをターゲットにした新しい侵入コードを発見すると高額の報奨金が出るという。Liang氏は、安定して悪用できるコードの開発と完全なサンドボックスエスケープを達成すること、実行権限をSYSTEMにエスカレートする方法を探す目的で研究をしていたとしている（BleepingComputer、ITPro、Slashdot）。