Apple M1プロセッサに設計上の脆弱性が見つかる 39
今のところは問題ないようです 部門より
この脆弱性では、OS上で実行されている2つのプロセス間で、OS側の機能を必要とせずにデータ交換できるというもの。これは異なる権限レベルで動作するプロセス間でも動くとされている。ただ、この脆弱性を悪用するためには、システムが侵害されている状態でなければならず、そうでない状況では悪用は難しいとされている。この脆弱性がM1プロセッサの後継モデルで修正されるかは不明。
アナウンス:スラドとOSDNは受け入れ先を募集中です。
カスタムURIスキームを利用することで、異なるWebブラウザーにわたるユーザーの追跡が可能になるという「scheme flooding」脆弱性をFingerprintJSが公開している(FingerprintJSのブログ記事、 Ghacksの記事、 HackReadの記事、 デモページ)。
この脆弱性はカスタムURIスキームを使用して外部プロトコルのハンドラー呼び出しを試みることで、Webサイトがユーザーのシステムに対応アプリがインストールされているかどうかを知ることが可能というものだ。カスタムURIスキームを利用するアプリのリストを生成することで、システムにインストールされた複数の異なるWebブラウザーで共通の識別子を生成できる。FingerprintJSでは影響を受けるブラウザーとしてデスクトップ版のTor Browser/Safari/Chrome/Firefoxを挙げているが、Chrome以外のChromiumベースブラウザーも影響を受けるとみられる。
ChromiumベースのブラウザーではカスタムURIスキーム実行時にダイアログボックスが表示され、ユーザーの意志に反したアプリケーションの起動を防ぐ仕組みが備わっているが、いったん内蔵PDFビューアーを起動するとこの仕組みがバイパスされる問題があるという。これについてはFingerprintJSがバグとして報告している。
FingerprintJSが公開しているデモでは24のアプリケーションに対応するカスタムURIスキームをチェックして24ビットの識別子を生成する。現在のところmacOSとWindowsにのみ対応しており、Linux上では正しく動作しない。
2021年6月15日(火)以降、Rakuten LinkアプリiOS版における「音声通話の着信」と「SMS送受信」について仕様変更が行われる(楽天モバイルリリース、Engadget)。Android版Rakuten Linkアプリには変更がなく、iOS版のみ変更なので、Apple社やiOS等による制限、規定等に従った結果と思われる。
まとめると架電(発信)にはRakuten Linkを使えるが、受話(受信)にはiOS標準アプリを使うようになる。架電と受話でアプリを使い分けるのは面倒。また、SMS送信・受信にはiOS標準アプリを使うようになる。結果的にSMS送信が有料となる。海外での使用にも影響があるようだ。
ネット上には、これらを改悪とする意見もあるが、受話時の音質が良くなるとか、Apple Watchに通知が来るようになると歓迎する意見もある。
ITmediaの記事によれば、今回の仕様変更は「技術的な都合」によるものであるという。具体的な変更点としては、変更前はすべての通話がRakuten Linkアプリで着信可能であったのに対して、変更後は相手がRakuten Linkからの発信の場合のみ、Rakuten Linkで着信可能となる(ITmedia、ケータイ Watch )。これに伴い、iOS標準の電話アプリで折り返し電話をかける場合の扱いなどに注意が必要だ。詳細に関しては公式のリリースを見ていただきたいが、通話やSMSを送信時の料金にも影響が及ぶことになる。
Appleが英国で提供するiPhone Upgrade Programmeで重度の障害を持つ顧客に不利な扱いをしている可能性について、英金融オンブズマンサービスが調査を開始したそうだ(9to5Macの記事)。
iPhone Upgrade Programmeは月額料金を支払うことで、毎年最新のiPhoneが入手可能になるというものだ。米国のiPhone Upgrade ProgramではApple Store実店舗のほかアプリでも申し込み・更新手続きが可能だが、英国版プログラムでは手続きが実店舗に限定されている。
金融オンブズマンに問題を訴えた男性は四肢障害を持ち、自動車や公共交通機関を利用して最も近いApple Storeまで行くことが困難だという。しかし、Appleはプログラムで提携するBarclaysの要件により、手続きには来店が必要だと説明したそうだ。
英国の法律では障害を持つ人々に対する不利な扱いを避けるため、企業に対して合理的な調整を行うよう義務付けている。男性は2019年、書類の郵送や介護者による店舗への持ち込み、自宅から非常に近く、車いすで行くことのできるBarclays Bankの支店での手続きなどを提案したが、Appleはすべて却下したとのこと。
メディアで注目を集めたのちにAppleは代替の手配を行ったが、男性は昨年も再び同じ問題に直面することになる。Appleは男性が更新手続きをできるようにしたものの、9to5Macが閲覧した電子メールでは一度限りの手配で2021年には提供しないという合意書に男性が署名したと主張しているという。
金融オンブズマンは9to5Macに対し、男性の苦情が調査員の割り当て条件を満たしており、AppleとBarclaysに対する正式な調査を開始したと述べたとのことだ。
AppleとEpic Gamesによる法廷闘争の中で5日、Xboxで副社長を務めるローリ・ライト氏が出廷した。その証言の中で、Xboxがどのハードウェアでも利益を上げていないことが判明したそうだ。IGNの記事によると「Xboxのコンソール販売でマイクロソフトはどのくらいのマージンを得ているか」という質問に対して(IGN Japan、GIGAZINE)。
「利益はありません。コンソールを赤字で販売しています」
とする回答をしたそうだ。この質問の経緯としては、コンソールメーカーが売り上げの30%の手数料を取るのに正当な理由があるのに対して、端末の販売で利益を出しているAppleが同様の形で手数料を徴収するのに異論を唱えるためのものであるとされている。
あるAnonymous Coward 曰く、
現地時間の2021年5月3日から、AppleとEpic Gamesによる法廷闘争のトライアル(対審)がスタートしており、5日にはXboxの副社長であるローリ・ライト氏が第三者証人として出廷しています。このトライアルの中でライト氏が、Xboxはこれまで販売してきたゲーム機で「利益を出したことはない」と発言したことが注目を集めています。
犯人は巨人ファンでA型で眼鏡をかけている -- あるハッカー