Security News

Windows 10は、改善された絵文字、GIF、音声入力を備えた新しいタッチキーボードを取得します

 マイクロソフトは、Windows 10の組み込みタッチキーボードに変更をもたらす予定です。新しいキープレスアニメーション、サウンド、およびアニメーションGIFを検索して挿入するためのすべての重要な機能が導入されます。更新されたキーボードのデザインは、Windows 10Xでの同社の取り組みに基づいています。 この新しいデザインには、タイピング用に最適化された優れたレイアウトと、スペースバーを介してカーソルを移動する機能も含まれています。 iOSと同様に、スペースバーに指を置き、上下左右にスライドしてカーソルを操作できます。 絵文字ピッカーも更新されます。これには、MicrosoftのFluent Design Systemに基づく改良設計が含まれます。そのため、単一のインターフェースで、絵文字検索、アニメーションGIFのサポート、クリップボード履歴と絵文字入力の収束が可能になります。それに加えて、今日の新しい形のWindowsのディクテーションがあります。 また、Windowsに組み込まれた音声からテキストへのインターフェイスである吹き替え音声入力が全面的に刷新され、これまでで最も信頼性の高い音声入力操作が実現します。よりモダンなデザイン、自動句読点、更新されたバックエンドが含まれています。  今週、これらの変更はすべて、Dev ChannelのWindowsインサイダーでテストされています。当局者によると、これらは2021年前半のWindows 10のより大きなアップデートの一部である可能性があります。

MicrosoftがWindows 10 Pro、EnterpriseからSurface Hub 2Sの提供を発表

Microsoftは、Surface Hub 2でのWindows 10 ProおよびEnterpriseの提供を発表しました。昨日、9月1日、Microsoftの幹部によると、ユーザーは50インチバージョンのSurface Hub 2Sでこれを実行できるようになりました。 同社は昨年から大いに期待を寄せています。これにより、Surface Hubマルチタッチ大型ディスプレイシステムで通常のWindows 10を使用できるようになり、通常はSurface Hub会議にバンドルされているカスタムWindows 10 Team OSを置き換えることができます。 Windows 10 ProおよびEnterpriseのシステム。 ブログの投稿では、「Surface Hub 2のWindows...

マイクロソフトはWindows 10 over LTEセルラーモデムの更新をブロックします

マイクロソフトは、Windows 10デバイスに影響を与えるWWAN LTEセルラーモデムの問題を確認しました。この問題により、同社はソリューションが利用可能になるまで、Windows 10バージョン2004がWindows 10にインストールされるのをブロックしています。 Microsoftによると、WWLAN LTEモデムを搭載した一部のデバイスはインターネットに接続できず、Windowsの通知領域内のネットワーク接続ステータスインジケーターにインターネット接続が表示されない場合があります。 この問題は、Windows Serverを搭載したWindows 10 2004デスクトップバージョンにのみ影響し、バージョン2004のデバイスは影響を受けないと、Microsoftは述べています。 同社は現在、影響を受けるWWAN LTEモデムドライバーを搭載したすべてのWindows 10デバイスに保護措置を適用しており、問題が解決するまでWindows Updateを通じてWindows 10、2004が提供されないようにしています。 この問題の修正が利用可能になり、安全策が取り除かれるまで、Microsoftはユーザーに、メディア作成ツールまたはボタンを使用して最新のWindowsバージョンに手動で更新しないでください。 現時点でお客様ができることは、機内モードのオンとオフを切り替えて問題を緩和しようとすることです。 「これを行うには、スタートボタンを選択し、機内モードを入力して、それを選択します。設定ダイアログで、機内モードをオン/オフに切り替えます。これで、期待どおりに接続できるはずです。」とMicrosoftは説明しています。 5月、KB4556799のWindows...

SlackがついにデスクトップアプリのRCEの欠陥を公開

セキュリティエンジニアのOskars Vegeris of Evolution GamingがSlackに複数の脆弱性を公開し、攻撃者がファイルをアップロードして別のSlackユーザーまたはチャネルと共有し、被害者のSlackアプリでエクスプロイトをトリガーできるようにしました。 脆弱性に関する広範な詳細が言及されている2020年1月にSlackと私的に書かれた詳細を共有しました。研究者によると、「アプリ内リダイレクト-ロジック/オープンリダイレクト、HTMLまたはJavaScriptインジェクションを使用すると、Slackデスクトップアプリ内で任意のコードを実行することが可能です。このレポートは、HTMLインジェクション、セキュリティ制御バイパス、およびRCE Javascriptペイロード。このエクスプロイトは、デスクトップ用の最新のSlack(4.2、4.3.2)バージョン(Mac / Windows / Linux)で動作することがテストされています。 VegerisはHackerOneの記事で5秒間のデモビデオを提供し、JSONファイルを使用してSlackデスクトップアプリ経由でネイティブ計算機アプリケーションの起動をトリガーする方法を示しました。このレポートは今週会社によって公表されました。エンジニアがSlackアプリを悪用するためにリストした複数の方法を示しています。 この悪用により、Slackのバックエンドではなく、ユーザーのコンピューターから任意のコードが実行されます。 Files.Slack.comコードの脆弱性により、攻撃者はHTMLインジェクション、任意のコード実行、クロスサイトスクリプティングを実行できます。 Vegerisが投稿したHTML / JavaScriptの概念実証のエクスプロイトは1つだけで、ペイロードをスラックにアップロードすることでネイティブ計算機アプリを簡単に起動できることを示しています。 このHTMLファイルへのURLがSlack JSON投稿表現のタグの領域に挿入されると、デバイスでワンクリックRCEが有効になります。エンジニアは、「エリアタグ内のURLリンクには、攻撃者が提供するコマンドを実行するSlackデスクトップアプリのこのHTML /...

のトランスポート層セキュリティ(TLS)サポートがMicrosoftのLinuxソフトウェアリポジトリから削除されました

マイクロソフトは、2020年9月23日から、Linuxソフトウェアリポジトリでの安全でないTLS 1.0およびTLS 1.1プロトコルのサポートを終了することを発表しました。 TSLは、サイトとWebブラウザー間の通信チャネルを暗号化するために使用される安全なチャネルです。元のTLS 1.0仕様とそのTLS 1.1の後継は、過去20年間使用されています。 MicrosoftのLinux Software Repositoryは、Linuxシステム用の幅広いソフトウェア製品をホストしています。このような製品は会社によって構築およびサポートされており、標準のYUMおよびAPTパッケージリポジトリを介してpackages.microsoft.comからダウンロードできます。 同社はWindows Message Centreで、MicrosoftはLinuxシステム向けのさまざまなソフトウェア製品を構築してサポートし、packages.microsoft.comのパッケージリポジトリ経由で利用できるようにしたと語った。最新のセキュリティ標準をサポートするために、packages.microsoft.comは、2020年9月24日をもって、トランスポート層セキュリティ(TLS)1.0および1.1プロトコルを介したパッケージダウンロードのサポートを終了します。 これに続いて、安全でないプロトコルからの接続は「期待どおりに機能せず、サポートも提供されません。パッケージに引き続きアクセスするには、組織はTLS 1.2以降のバージョンを有効にする必要があります。 同社はまた、「可能な場合は、組織が環境内のすべてのTLS 1.0および1.1の依存関係を削除し、オペレーティングシステムレベルでTLS 1.0 / 1.1を無効にすることをお勧めします。」 Microsoftは今月初めに、「TLS...

PhilipsとThomsonのセットトップボックスに見つかった主要な脆弱性

アバストIoTラボの研究者は、フィリップスとトムソンの2つの人気のあるセットトップボックスに深刻な脆弱性を発見しました。彼らによれば、これらの脆弱性により、攻撃者はボットネットでデバイスを使用し、ランサムウェア攻撃を行うことができます。 バグは、THOMSON THT741FTAおよびPhilips DTR3502BFTAデバイスからヨーロッパ、特にTVがHD解像度へのアクセスを提供するDVB-T2標準をサポートしないユーザーに発見されました。製品の所有者は調査結果について通知を受け、安全性を向上させるためにさまざまな対策が提案されました。 IoT脅威研究者であるMarko ZbirkaのIoTラボラトリーの責任者であるVlasdislav Ilyushin氏は、今年1月に調査を開始しました。この研究は、スマートデバイスのセキュリティソリューションを研究およびテストするアバストイニシアチブの一環でした。分析の結果、両メーカーはSTBにデフォルトでTelnetポートが開いていることを発見しました。 「このプロトコルは1969年に作成されたため、50年以上前のものであり、暗号化はされていませんが、リモートデバイスまたはサーバーとの通信には引き続き使用されます。基本的に、脆弱なセットトップボックスの場合、攻撃者はデバイスにリモートアクセスしてボットネットの一部にして、DDoS攻撃やその他の悪意のあるアクティビティにそれらを使用することができます。 たとえば、研究者たちは有名なIoT Miraiマルウェアのバイナリファイルを両方のコンソールで実行できました。また、ガジェットのアーキテクチャの問題も特定しました。どちらのコンソールもLinuxカーネルバージョン3.10.23を使用しています。これは、セットトップボックスのハードウェアとシェアウェア間のブリッジとして機能します。このバージョンのサポートは2017年11月に期限切れとなりました。その結果、ユーザーは修正を受け取っていないだけの潜在的な攻撃に対して脆弱になります。 これに加えて、暗号化されていない接続が2つのコンソールで見つかりました-セットトップボックスとプレインストールされた古いアプリ-AccuWeatherの間。セットトップボックスとAccuWeather間の安全でない接続により、攻撃者はユーザーがテレビに表示するコンテンツを変更できます。 「製造業者は、販売するときだけでなく、安全基準を満たす責任があります。また、ユーザーによるさらなる利用の安全性にも責任があります。残念ながら、IoTデバイスの製造元は、自社製品がもたらす脅威をどのように軽減できるのか疑問に思うことはほとんどありません。代わりに、最小限または少なくとも完全にIoTセキュリティを無視して、コストを削減し、市場投入までの時間を短縮します」とアバストで述べています。 アバストの専門家は、デバイスの長期サポートの歴史があり、セキュリティに取り組んでいる信頼できるブランドからモデルを選択することをユーザーに推奨しています。さらに、ポート転送構成を確認し、必要でない場合は無効にします。

Windows 10 1803のサービス終了は来年の予定です

マイクロソフトは本日、Windows 10バージョン1803のEnterprise、Education、およびIoT Enterpriseエディションのサービス終了データの変更を発表しました。この決定は、現在の公衆衛生状況を考慮して行われます。 MicrosoftのChris Morrissey氏は、次のように述べています。「グローバルパンデミックの最中、お客様のフィードバックを聞き、ビジネス継続性に集中する必要性を理解しています。その結果、エンタープライズのサービス終了予定日を遅らせることを決定しました。 Windows 10バージョン1803の教育、およびIoT Enterpriseエディション。」 次のスケジュールされたデータは2021年5月11日に戻されます。これは、2021年5月11日から、Windows 10、1803 Enterprise、Education、およびIoT Enterpriseエディションを実行しているデバイスが、Windows Update、Windows Serverを通じて毎月のセキュリティ更新を引き続き受信することを意味します更新サービスとMicrosoft Updateカタログ。 Windows 10 1803のHomeエディションとProエディションは、2019年11月12日にすでにサービスが終了しています。これより前に、MicrosoftはWindows Updateダイアログにユーザーに最新の機能アップデートにアップグレードすることを推奨するメッセージを表示しました。 その他の主要製品は来年までにサービス終了となる予定です。同社は、これらの製品のサービスが終了した時点で、技術サポートの提供を停止し、発見された問題およびセキュリティ修正のバグ修正をリリースします。同社は、2021年にサポートが終了する製品のリストと、ライフサイクル製品データベース内のすべての製品とそのライフサイクルポリシータイムラインのリストを提供しています。このような製品の完全なリストは、製品ライフサイクルの検索ページにあります。...

Firefox 80リリースでのさまざまな新機能、バグ修正、エンタープライズの改善

Mozilla Firefox 80が本日(2020年8月25日)にリリースされました。新機能、バグ修正、エンタープライズの改善、およびいくつかのセキュリティパッチが含まれています。 このリリースでは、ブラウザーのパフォーマンスを向上させるブラウザーの新しいアドオンブロックリストが有効になります。これにより、問題のあるFirebox拡張機能が自動的に無効にするリストを解析するのに必要な時間を短縮することで、ブラウジングアプリケーションのスケーラビリティも向上します。 Firefox 80では、ユーザーがシステムのデフォルトのシステムPDFビューアを表示して、いくつかのクラッシュを修正することもできます。これにより、ブラウザーは読者ユーザーにとってより安定したものになります。 Windows、Mac、およびLinuxデスクトップユーザーは、> > からこのリリースにアップグレードできます。ブラウザーは新しいアップデートを自動的に確認し、利用可能な場合はインストールします。 このリリースでは、他のすべてのFirefox開発がFirefoxベータ版をバージョン81にアップグレードし、ナイトリービルドをバージョン82にアップグレードしました。リリースの次のFirefox 81.0ベータ版は、安定版ブランチを促進し、「ハードウェアによるメディア再生の制御」のサポートを追加しますキーボードまたはヘッドセットのメディアキーまたは仮想メディアコントロールインターフェイス」および「よりスムーズなビデオ再生とmacOSでの60 fpsビデオの改善されたAV同期」 Firefox 80は、MozillaのFTPリリースディレクトリから手動でダウンロードできます。以下では、Firefox 80の主な変更点と改善点が強調表示されています。興味がある場合は読んでください。 Firefoxの新しいアドオンブロックリスト ブラウザーはブロックリストの新しいよりスケーラブルなバージョンを使用し、ブラウザーがそれを解析する必要がある時間を短縮します。 Firefox Add-onのエンジニアリングマネージャーであるStuart Colville氏は、次のように述べています。...

オープンソースのWuMgrを使用して手動でWindows 10を確認および更新する

WuMgrはWindowsの更新マネージャーとも呼ばれ、Windows上のMicrosoft製品のすべての更新を管理できるようになりました。この無料のオープンソースツールにより、ユーザーは設定とコントロールパネルを使用せずにWindows Updateを実行できます。 開発者によると、このポータブルアプリは「Windows UpdateエージェントAPI」を使用して、パッチ火曜日のアップデート、オプションのアップデート、セキュリティアップデートなどのアップデートを識別、ダウンロード、インストールします。また、デバイスの更新を管理するためのさまざまなオプションが追加されます。 このアプリを実行するには、管理者権限が必要です。 Windows Updateと同様に、このオープンソースツールを使用すると、更新を簡単にダウンロードしてインストールできます。また、このアプリは、Windows Update the Settingsアプリを使用して更新をスキャン、ダウンロード、またはインストールできない場合にも役立ちます。 このアプリはユーザーに4つのオプションを提供します。これらは次のとおりです。 Windows Update:このオプションを使用すると、利用可能なアップデートを表示できます インストール済みの更新:インストール済みの更新を表示するには、このオプションを使用します 非表示の更新:インストールがブロックされている更新を一覧表示します 更新履歴:このオプションは、ツールから実行したすべてのアクティビティを追跡します 「Windows Update」オプションをクリックすると、サイズとステータス、リリース日、KB(ナレッジベース)の記事IDとともに各アップデートがリストされます。パッケージをダウンロードするには、アップデートを選択してボタンをクリックするだけです。アップデートをインストールするには、必要に応じて、次のボタンをクリックし、デバイスを再起動します。 最後に、特定のWindows更新を非表示にするオプションもあります。このオプションは、MicrosoftのHide and...

ロンドン大学ユニバーシティカレッジの研究者が世界最速のインターネット速度の偉業を達成

超高速インターネット接続の最大上限はいくつですか?おそらくそれは100Mbps、1Gbps、または1000Gbpsかもしれません。さて、研究者のチームが世界で最も速いインターネット速度である178,000 Gbpsの予想外のより高いインターネットをクロックしたので、吹き飛ばされたばかりの心を準備してください。参照用の光ファイバー対応のデータセンターは、現在、35,000 Gbpsの速度でデータを送信できます。  XdiaaおよびKDDIリサーチと共同でLidia Galdino博士が率いるユニバーシティカレッジロンドンの研究者チームは、この偉業を達成しました。インターネットの速度は十分です。たとえば、Netflixライブラリ全体を一度にダウンロードしたい場合は、この速度で1秒以内に実行できます。この速度は、オーストラリアの研究者チームが今年初めに記録した速度の4倍です。 研究者がブログ投稿で説明したように、彼らは既存の光ファイバーシステムで使用されている波長よりもはるかに広い波長を使用し、なんと16.8THzのスペクトル帯域幅に落ち着きました。比較すると、現在のシステムは4.5THzの帯域幅を提供しており、9THzの商用帯域幅の到来を見たところです。 物事をより面白くするために、インターネットの速度は、1949年にアメリカの数学者、クロードシャノンによって与えられた理論上のデータ伝送制限にちょうど近いです。速度は、1時間未満でブロックホールの最初の画像をダウンロードするのに十分です。実際には、そのような画像は多くのハードドライブに保存され、飛行機で輸送されました。 これは、全世界がCOVID-19パンデミックの課題に直面し、人々が自宅で仕事をし、昼夜を問わずインターネットで活動をしているときにニュースになります。したがって、サービスが途絶えており、ストリーミング会社が余分な負荷を補うためにビデオ品質を低下させていることがわかりました。 このような巨大なインターネット速度は有益かもしれません。しかし、この事実は、インターネット全体の需要が数十年で高まっていることを否定することはできません。 ガドリーノ博士は、「既存のインフラストラクチャをより効率的に利用し、光ファイバー帯域幅をより有効に活用し、178テラビット/秒の世界記録の伝送速度を可能にする新しいテクノロジーと協力している」と語った。 ブログの投稿のとおり、40-100km間隔で光ファイバー配線に配置された増幅器をアップグレードすることで、既存のインフラストラクチャをコスト効率よく改善することが可能です。新しい光ファイバーケーブルの敷設を比較すると、これは安価です。