うっかり見逃していたけれど、ちょっと気になる――そんなニュースを週末に“一気読み”する連載。今回は、7月7日週を中心に公開された主なニュースを一気にチェックしましょう!
●iOS/Andorid版「Winamp」が正式版リリース
ベルギーのWinampは7月11日、Windowsにおける老舗メディアプレイヤーの1つ「Winamp」のiOS版およびAndroid版を正式リリースした。現在、それぞれApp StoreとGoogle Playからダウンロードできる。モバイル版のWinampは2023年7月からβテストが開始されており、ちょうど1年で正式リリースとなった。
1997年に誕生したWinampは、2013年にいったん配布を終了したものの、2018年10月にWindows 8.1/10向けとしたWinamp 5.8.0で復活。その後、2022年9月にWindows 11正式対応版となるWinamp 5.9をリリースしていた
●Zoomに複数の脆弱性 最大深刻度は「High」
米Zoom Video Communicationは7月9日(現地時間)、Windows向けのZoomアプリに複数の脆弱性があることを明らかにした。
今回報告された脆弱性は以下の8件で、最大深刻度は「High」となっている。
・CVE-2024-39819:インストーラーにおける権限管理が不適切であるため、権限昇格を実行できる可能性
・CVE-2024-39821:インストーラーの競合状態により、サービス拒否を実行できる可能性
・CVE-2024-39820:インストーラー内の制御されていない検索パス要素により、サービス拒否を実行できる可能性
・CVE-2024-39827:インストーラーでの入力検証が不適切だったため、サービス拒否を実行できる可能性
・CVE-2024-39826:チームチャットでのパストラバーサルにより、情報漏えいを実行できる可能性
・CVE-2024-27238:インストーラーの競合状態により、権限昇格を実行できる可能性
・CVE-2024-27241:入力検証が不適切であると、サービス拒否を実行できる可能性
・CVE-2024-27240:インストーラーでの入力検証が不適切であると、権限昇格を実行できる可能性
なお、これらの脆弱性は、すでに最新版では修正済みだ。Windows版Zoomの最新版は、7月1日にリリースされた「バージョン6.1.1」となっている。
●Microsoftが2024年7月の月例更新プログラムを公開
米Microsoftは7月9日(現地時間)、現在サポートしているWindows 11およびWindows 10の全バージョンに対し、月例セキュリティ更新プログラムの配信を開始した。
Windows 11(23H2/22H2向け)は「KB5040442」、Windows 11 21H2向けは「KB5040431」、Windows 10(22H2/21H2向け)は「KB5040427」、Windows 10(1809向け)は「KB5040430」となる。
本更新プログラムでは、CVE番号ベースで139件の脆弱(ぜいじゃく)性に対応した。このうち、深刻度を「Critical(緊急)」と評価しているのは以下の5件だ。
・CVE-2024-38023:Microsoft SharePoint Server のリモートでコードが実行される脆弱性
・CVE-2024-38060:Windows Imaging Component Remote Code Execution Vulnerability
・CVE-2024-38074:Windows リモート デスクトップ ライセンス サービスのリモート コード実行に対する脆弱性
・CVE-2024-38077:Windows リモート デスクトップ ライセンス サービスのリモート コード実行に対する脆弱性
・CVE-2024-38076:Windows リモート デスクトップ ライセンス サービスのリモート コード実行に対する脆弱性
また、以下の2件は深刻度こそ「Important(重要)」となっているが、悪用の事実が確認されている。
・CVE-2024-38080:Windows Hyper-V の特権の昇格の脆弱性
・CVE-2024-38112:Windows MSHTML Platform Spoofing Vulnerability
既に攻撃手法が知られている脆弱性も含まれており、できるだけ早めのアップデートを心掛けたい。
●Web版Word、Excel、PowerPointのファイルメニューを改善
米Microsoftは7月4日(現地時間)、Web版Word、Excel、PowerPointのファイルメニュー改善を発表した。現在、Microsoft 365 Insider向けに展開しており、8月に全てのユーザーに一般提供される予定だ。
新しいファイルメニューは、より直感的に操作できるようにすることを目的としている。大きな変更点としては以下のようなもの。
・ファイル名の変更がより効率的になるように最適化した。タイトルバーのファイル名をクリックするだけでファイル名を変更可能に
・自動保存エクスペリエンスが刷新した。緑色のアイコンにより、全ての編集が保存されたことが視覚的に確認できる
・重要なコマンドの検索が簡単になり、必要なものを見つけやすくなった
これらの変更に合わせ、ファイルメニューから「名前を付けて保存」が削除された。ファイルは常に自動保存される。また、PDFなど他の形式で保存したい場合は、「名前を付けて保存」ではなく、「エクスポート」を利用する。
●「Firefox 128.0」リリース プライバシー保護属性APIを実験的にサポート
米Mozillaは7月9日(現地時間)、デスクトップ向けWebブラウザ「Firefox」の最新版となるバージョン128.0をリリースした。このバージョンでは、Privacy-preserving attribution(PPA)が実験的にサポートされる。オリジントライアルを通じて利用できるようになった。
PPAは、広告の効果を測定しつつ、ユーザーのプライバシーを保護することを目的としたもの。近年、プライバシー保護の観点から、Web業界ではサードパーティー製Cookieを廃止し、クロスサイトトラッキングを防止する動きが進んでいる。
しかし、ターゲッティング広告の効果が薄れ、それによる収益で運営されている無料サービスなどが維持できなくなるとの問題も懸念されている。このため、クロスサイトトラッキングに代わる手段が模索されているが、PPAもその1つだ。
仕組みとしては、広告表示をブラウザ(Firefox)が記憶し、暗号化されたレポートを作成。レポートは匿名で集計サービスに送信され、集計結果のみ広告主に提供される。これにより、ユーザーは閲覧情報などを第三者に送信することなく、広告主は集計情報を受け取ることができる。
なお、PPAはFirefoxの設定から無効にすることもでき、無効にしてもWebサイトにはその情報が知らされることはないという。
この他、Firefox 128.0では、データ消去ダイアログの変更や、プライベートブラウジングモード中にNetflixなどからの保護されたコンテンツの再生がサポートされている。
●Adobe Premiere Pro、InDesign、Bridgeに脆弱性 月例セキュリティ情報を公開
米Adobeは7月9日(現地時間)、7月度のセキュリティ情報を公開した。
今回は「Premiere Pro」「InDesign」「Bridge」が対象となっており、それぞれ以下の脆弱性に対応している。深刻度はすべて「Critical」で、セキュリティアップデートの優先順位は3段階で一番低い「3」。Adobeは、管理者が自らの判断でアップデートをインストールすることを推奨している。
・Premiere Pro
・CVE-2024-34123:信頼できない検索パス
・InDesign
・CVE-2024-20781:ヒープベースのバッファオーバーフロー
・CVE-2024-20782:境界外書き込み
・CVE-2024-20783:ヒープベースのバッファオーバーフロー
・CVE-2024-20785:ヒープベースのバッファオーバーフロー
・Bridge
・CVE-2024-34139:整数オーバーフローまたはラップアラウンド
・CVE-2024-34140:境界外読み取り