この2日間で、あるセキュリティ研究者が、3種類のウィンドウズ10の脆弱性のデモコードを公開しました。マイクロソフトは、少なくとも1つの脆弱性にパッチを適用しましたが、その他の脆弱性についてはまだコメントを出していません。

この1年間で、SandBoxEscaperは7種類のエクスプロイトをリリースし、それぞれ重要度や使いやすさが異なっています。Ars TechnicaやZDNetなどの様々な情報源は、これらの最新のエクスプロイトを「ゼロデイ攻撃」と呼んでいますが、これは完全に正確ではないかもしれません。

ゼロデイ」とは、外部から発見された脆弱性を、当該企業に事前に通知することなく利用・公開することを指します。初期の報告では、SandBoxEscaperがこれらのエクスプロイトをすべてマイクロソフトに責任を持って通知することなく公開したとされていましたが、実際はそうではないようです。

関連記事："ゼロデイ "攻撃とは何か、どう身を守るか？

ZDNetは、彼らの記事の更新版で、Microsoftが少なくとも1つの脆弱性にパッチを適用したことを明らかにしたことに触れ、それを「Polar Bear」（Sandboxscapeが使用する別の名前）の脆弱性であるCVE-2019-0863と関連付けていることを述べている。他の2つの脆弱性については、マイクロソフトはコメントしていません。

これらの攻撃がどれほど危険なのかというと、答えはもう少し複雑です。sandboxscapeによると、これらの脆弱性は悪用が難しく、ターゲットマシーンへのローカルアクセスが必要とのことです。そのため、このような攻撃の有効性は制限されます。

一方、悪意のある参加者がターゲットマシーンにアクセスした場合、これらの攻撃は、特権の昇格、システムへのアクセス、IE11のサンドボックスが防ぐべきレベルのJavaScriptの実行をさまざまな方法で可能にし、大きな損害を与える可能性があります。

もしマイクロソフトがこれら3つの脆弱性にパッチを適用していないのであれば、同社は優先的に適用する必要があります[ZDNet Inc.］

その他のニュース

• League of Legendsがモバイル端末に登場するかもしれない：「情報筋」によると、TencentとRiot Gamesはモバイル版League of Legendsの開発に取り組んでいる可能性があるそうです。Fortniteがあらゆるプラットフォームで成功していることを考えると、これは賢明な行動と言えるでしょう。しかし、無名の情報源がいない限り、これは希望であり、せいぜい噂に過ぎない。私の名前はジャバン4世です![ロイター]
• Razer Forge TVとOuyaが最後の別れを告げる：あなたは今、こう思っているかもしれません。「razerforge TVは、Android on TVの最初の試みの一つで、同社は数カ月で成功しました。Ouyaは、Razerが同社を買収する前に、クラウドファンディングによるAndroid TVコンソールでゲームを変えると約束しました。両社とも軌道に乗らず、今回、Razerは2019年6月25日を最後にオンラインショップを閉鎖するという。[9 to 5 Google】。］
• パニックが発売する携帯機「プレイデイト」が超かわいい。CodaやPromptといった優れたMac用ソフトウェアのクリエイターであり、『Katamari』のインディーゲームクリエイターでもある、"クランク "を備えた愛らしい小型ハンドヘルドが登場します。このGIFを見てください、どこか子供のような無邪気さが感じられます。PlayDateは2020年初頭に発売される予定で、ハイエンドなスクリーンとその他のハードウェアにより、小売価格は150ドル前後になるはずです。 <**all>[The Verge]</**all>
• テスラの新しい車線変更技術は安全でない可能性がある：テスラは最近、自動車線変更機能を備えた「オートパイロット・ソフトウェア」を更新しました。同社は、人よりもクルマ自身の方が安全にこれを行えると主張しているが、消費者からはそうではないとの報告を受けている。テストでは、危険な方法で車線を変更しようとしたり、予測できない場所でブレーキをかけたり、ほとんど余裕のない状態で車両を切り離したりすることが確認されたそうです。自動運転車は、まだまだこれからです。[コンシューマーレポート
• ラスベガス、Boredomに4900万ドル相当の契約を獲得：イーロン・マスクのもうひとつの合弁会社、Boredomに朗報がもたらされた。ラスベガスでは、自律走行型電気自動車を備えた地下歩行者用トンネルを建設する契約が承認されました。15分の徒歩時間を1分に短縮するという約束が実現すれば、CESの参加者にとってはありがたいことです。トンネルに火炎放射器が設置されているかは不明
• GoogleのDuplexは、本当にユーザーフレンドリーでないときに非常によく機能します。****は、レストランなどの場所の予約を手配するGoogleの人工知能（a.I.）予約サービスであるDuplexをテストしてみました。A.I.が電話をかけてきたとき、全体の流れが印象的で、電話の相手にはわからないのです。でも、まったく人工知能じゃない場合もある。Googleによると、二重通話の約25％は二重A.I.ではなく人間が行っており、A.I.が通話を開始したとしても、人間が介在するケースは15％あるそうです。[****]
• Spotify、不審な動きにより一部ユーザーのパスワードをリセット：Spotifyの一部のユーザーに対し、同社からパスワードのリセットを求める通知が届きました。Techcrunchへのやや曖昧な説明の中で、同社は、予防措置として一部のユーザーにこのメッセージを送り、サイト上でパスワードを再利用しないように注意喚起したと説明している。詳細な情報がなければ、何が起こったのか推測するしかない。[テクニカルクランチ］
• Apple、WWDC基調講演のプレス招待状を送付： WWDCが間近に迫り、iOSやmacOSなどの最新かつ最高のソフトウェア・アップデートが発表されるようです。アップルは、6月3日に開催する基調講演のプレス招待状を発送しました。チケットを取れなかった人は、もう手遅れです。私たちのように、家で見るしかないでしょう。[噂】です。］
• GitHub PatreonはPatreonのオープンソースコードのようなもの：GitHubはPatreonやTwitch Patreonを彷彿とさせる新しい「Patreon」プログラムを発表したばかりです。毎月定期的にプレゼントを送るオープンソースの開発者を選ぶことができ、開発者はボーナス階層を追加することができます。マイクロソフトによると、開発者が参加した最初の年に5,000ドル相当の寄付を行い、次の12ヶ月間はすべての手数料を免除するとのことです。ただし、それぞれの側面がどのように機能するかは完全には明らかにされていませんので、詳細は続報をお待ちください

最後に、NASAはあなたの名前を火星に送りたいと考えています。簡単な投稿フォームから、登録者全員の名前を提供すると、マイクロチップに刻印され、このマイクロチップが「火星2020」の探査機に取り付けられます。NASAにメールアドレスを提供すると、今後このような機会に関するお知らせを送ることができます。ちょっとしたボーナスとして、NASAが面白い搭乗券をプレゼントしてくれますよ。あなたがサインアップして、私たちが今サインアップしているのです。[NASA]です。