ICTによる社会運動支援とコミュニケーションの権利を！

Googleが昨年、ユーザーが描いた絵を画像認識システムが分析し、「何の絵を描いたのか」を当てるというデモ「Guick, Draw!」を公開したのだが、Googleがこのデモを試したユーザーによって描かれた絵を収集したデータをGitHub上で公開している。ライセンスはCC Attribution 4.0（TechCrunch）。

このデータについて紹介するGoogle Research Blogでは、集めたデータの分析例も紹介されており、国ごとの絵の描き方の違いなどが紹介されている。

すべて読む | オープンソースセクション | オープンソース | テクノロジー | 人工知能 |

関連ストーリー：
Google、核融合向けの技術を核融合技術企業と共同で開発 2017年07月31日
コードの文脈を判断して自動的にネット上で公開されているコードを提案する「Codota」 2017年06月22日
機械学習関連カンファレンスの論文締め切り直前にGoogleやMSのクラウドサービスのGPUが一時的に枯渇 2017年05月25日

多数のオープンソースソフトウェア開発プロジェクトを傘下に持つApache Software Foundation（ASF）が、Facebookの「オープンソースソフトウェアライセンス風のソフトウェア」は利用すべきではないという方針を定めた（Facebookの特許条項付きBSDライセンスが炎上している件について）。

Facebookが公開しているソフトウェアのライセンスはBSDライセンスをベースとしているが、それに加えてFacebookやその傘下の企業などとの間で特許紛争が発生している会社はそのソフトウェアを利用できないという条項が追加されている。これは「PATENTS」というファイルに記載されており、以前から話題にはなっていたのだが（参考：2016年にQiitaに投稿されたスライド）、今年7月にASFがこの条項を問題視し、この条項が付いたソフトウェアはASF傘下のオープンソースソフトウェア開発プロジェクトでは利用を認めないことが表明された（Register）。

これにより、特にFacebookが開発するJavaScriptフレームワーク「React.js」を使用しているプロジェクトが影響を受けるという。そのため、Reactを利用しているASF傘下プロジェクトに関わるソフトウェア開発者がFacebookにライセンスの変更を求めていたが、Facebookはこれを却下したという（Register、マイナビニュース）。

なお、オープンソースの定義では特定の個人やグループ、分野に対してのみ制限を加えることを禁止しており、これに則るとFacebookの「特許状況付きBSDライセンス」はオープンソースライセンスとは認められない。

すべて読む | ITセクション | オープンソース | apache | 著作権 | Facebook |

関連ストーリー：
Google、同社のMapReduce特許についてOSSで使われている場合は訴えないことを誓約 2013年04月02日
Facebook、Yahooを逆提訴 2012年04月06日
Yahoo!、同社保有の特許の使用料をFacebookに要求 2012年03月02日
Richard M. Stallman、「Mono や C# は使うな」と吼える 2009年06月30日
APSL 2.0はフリーソフトウェア・ライセンス 2003年08月07日

headless曰く、

オープンソースのデスクトップ環境GNOMEが15日で20周年を迎えた（GNOMEのニュース記事、Softpedia、BetaNews、特設サイト）。

Miguel de Icaza氏とFederico Mena-Quintero氏がKDEに代わるデスクトップ環境の開発を目指し、GNOMEプロジェクトを開始したのは1997年8月15日。1999年に最初の安定版となるGNOME 1.0が完成し、現在までに33の安定版がリリースされている。

20周年を記念して、GNOMEプロジェクトでは特設サイトを公開しているほか、2週間以内のパーティー開催を呼び掛けている。

すべて読む | オープンソースセクション | オープンソース | GNOME |

関連ストーリー：
gedit、「誰もメンテナンスしていない」状態になっているとしてメンテナを募集 2017年07月31日
Ubuntu 18.04ではデスクトップ環境がUnityからGNOMEに戻る 2017年04月09日
米Groupon、GNOMEの抗議を受けてレジシステム「Gnome」の名称を変更へ 2014年11月12日
GNOME Foundation、資金切れに 2014年04月18日
開発者のGNOME離れが進んでいる？ 2013年07月26日

8月10日に広告ブロックソフトウェアが使用するフィルターリスト「Easylist」から1件のフィルターが削除されたのだが、削除理由が明確でなかったためEFFまで出てくる騒ぎとなった(Adguard Blogの記事、 TorrentFreakの記事、 Neowinの記事)。

削除されたのは「functionalclam.com」を指定する行で、GitHubのコミットにはDMCA削除要請に基づく削除された旨の見出しが付けられていたが、それ以上の情報は記載されていなかった。また、GitHubが受け取った削除要請の公開も遅れたため、削除理由がはっきりしないままだった。

そのため、コミュニティーが調査を行ったところ、「dmcahelper」というアカウントが7月18日にフィルターの削除を要求していたことが判明する。dmcahelperは著作権アクセスコントロールを迂回するとの報告を受けたと主張し、フィルターの削除を要求していた。しかし、運営者を装うような口ぶりに加え、アカウントが新しく作成されたものだったため、まったく相手にされなかったようだ。

さらに、functionalclam.comドメインを所有するのがアンチ広告ブロックサービスを提供するAdmiralであることが判明。「広告企業がDMCAを使用して強制的に広告を見せようとしている」「広告ブロックソフトウェアが攻撃を受けている」などと騒ぎになり、EasylistのメインテナーにEFFが助力を申し出る事態となった。

その後、リストのメインテナーがコメントし、問題のサーバーは広告ブロックに関する警告などを提供しているもので、広告サーバーではないとの見方を示した。広告サーバーでなければDMCA削除要請がなくても削除すべきものであり、フィルターを追加する際は注意するよう呼び掛けている。その一方で、広告サーバーを対象にするDMCA削除要請があった場合には法的なオプションも検討することになるとも述べている。

また、Admiralはdmcahelperとして7月に削除を要求していたことを認め、削除を実現するにはGitHubの合意が必要とみてDMCA削除要請を行ったと説明している。

すべて読む | オープンソースセクション | オープンソース | ソフトウェア | 著作権 | EFF | 広告 |

関連ストーリー：
Google、ユーザーが特に不快に感じる広告を表示するWebパブリッシャーへの通知を開始 2017年08月12日
FacebookとAdblock Plusの広告ブロック対決、Facebookに軍配 2016年09月20日
Warner Bros.、Googleの検索結果から自社の公式Webページの削除を要請 2016年09月09日
PC向けのOpera開発者版、ネイティブの広告ブロック機能を搭載 2016年03月13日
米控訴裁判所、削除要請の際にはフェアユースを考慮する必要があるとの見解 2015年09月20日
Webブラウザでの広告ブロックが違法になる日は来るのか 2012年11月28日
Adblock Plusのフィルタリストメンテナ「rick752」氏、死去 2009年04月07日
DMCAを悪用した批判記事の削除事例はそれなりに発生している 2017年08月29日
Wantedly、IPOについて批判的な投稿のブログを対象にGoogleにDMCAに基づく削除を申請 2017年08月25日

先日Adobeが終息計画を発表したFlash Playerだが、オープンソース化を求める請願運動がGitHubで持ち上がっている(open-source-flash、 InfoWorldの記事)。

請願運動のリポジトリを作成したのはWeb開発者のJuha Lindstedt(pakastin)氏。Lindstedt氏はFlash Playerの配布や更新をAdobeが終了することに異存はないとする一方、Flashはインターネットの歴史で重要なものの一つであり、Flashがなくなれば将来の世代は過去のコンテンツにアクセスする手段がなくなってしまうと主張する。

Flashを保存する試みは既にいくつかのプロジェクトで行われているが、Flash自体がクローズドソースであるため完成には至っていないという。Flashの仕様をオープンソース化することで、過去のFlashコンテンツが生き続けるだけでなく、swf/flaをHTML5などに変換するソフトウェアやスタンドアロンのプレイヤーといったものが作られる可能性もある。単にFlashを現状のまま保存すべきだ、という話ではないとのこと。

請願運動の結果はAdobeに送られる。署名するには、このリポジトリに星を付ければいい。ライセンスの関係で公開できない部分に関しては何を削除したのか明記してもらえれば、除外するか代替のオープンソースで置き換えが可能だとも述べている。スラドの皆さんはどう思われるだろうか。

すべて読む | オープンソースセクション | オープンソース | メディア | スラッシュバック | インターネット | デベロッパー | スラドに聞け！ |

関連ストーリー：
Adobe、Flashの終息計画を発表。Flash Playerは2020年末に終了予定 2017年07月27日
Adobe Flashを殺したのは誰か 2017年04月04日
米FedEx Office、Flashを有効にしたユーザーに値引きサービスを提供 2017年03月26日
Microsoft、Flash Playerのセキュリティ更新プログラムを定例外で公開 2017年02月25日
EdgeブラウザでもFlashコンテンツを自動でブロックする方向に 2016年12月20日
Google ChromeのデフォルトでFlashをブロックするHTML5 by Default、2月リリースのChrome 56は全ユーザーで有効化 2016年12月11日
Adobe、Linux向けNPAPI版Flash Playerを開発再開 2016年09月09日
Flash Playerの拡張サポート版、2016年10月11日をもって廃止に 2016年07月16日
XPを見捨てたMicrosoftに対しソースコードの公開を求める意見 2014年05月14日

MAMEプロジェクトではアーケードゲームのROMダンプを使用しているが、プロテクトにより正確な読み取りが不可能な場合、パッケージを開封(decap)してマスクROMのダイ表面から直接ビットを読み取るといった作業も行っているそうだ(Ars Technicaの記事)。

作業では初めにパッケージを硝酸で溶かしてアセトンで洗浄する。この工程を繰り返してダイが露出したら、100倍以上の拡大写真を撮影して読み取りに使用するといったものだ。ただし、作業には時間がかかる上、高価な機材が必要であり、危険も伴う。そのため、以前は寄付を募って写真撮影までの工程を外部に委託していたそうだ。この試みは着実に成果を上げていたが、2015年に委託先の人物が希少なチップを持ったまま行方をくらましてしまい、いったん中断することになる。

この作業は現在、CAPS0ff プロジェクトが担当しており、資金の調達からチップの入手・開封、読み取りまで行っている。データの読み取りには画像認識を使用しているが、最近開封したチップの中に画像認識がうまくいかないものがあり、分割したダイの拡大写真から目視でデータを読み取るという作業をクラウドソーシングで実施したとのこと。また、EPROMのプロテクトを無効化して読み取るといった作業も行っているようだ。

すべて読む | ハードウェアセクション | オープンソース | ハードウェア | ハードウェアハック | ゲーム | デベロッパー |

関連ストーリー：
MAME、20周年 2017年02月10日
MAME、GPLv2にライセンスを変更 2016年03月12日
プロセッサの表面を削って固有IDを読み取ればiPhoneのロックは解除できるという話 2016年03月11日
MAME、「セガソニック ポップコーンショップ」のエミュレートに対応 2015年10月31日
古いゲームを改造して動かせるようにすることを認めさせる動きに対しゲーム業界が反発 2015年06月26日
MAMEがオープンソース化へ 2015年05月20日
EFF、サービスの終了したゲームを保存するための改造をDMCAの例外とすることを求める 2015年04月12日
InternetArchiveがMAMEベースの「アーケードゲームアーカイブ」サイトを公開 2014年11月06日
MacintoshのROMをダンプして隠されたイースターエッグを再考察する 2012年08月27日
ゲームボーイカラーのブート ROM ダンプに成功 2009年10月01日
MAME for OSASK 2003年10月04日

Ubuntu 18.04 LTSに標準搭載するデスクトップアプリケーションについて、CanonicalのDustin Kirkland氏が意見を募集している(Ubuntu Insightsの記事、 Phoronixの記事、 Softpediaの記事)。

Kirkland氏は3月、Ubuntu 17.10に関する要望をHacker Newsで募集しており、予想以上の成果が得られたようだ。CanonicalはUbuntu 18.04 LTSで標準デスクトップ環境をUnityからGNOMEに変更する方針を4月に発表しているが、これもHacker Newsで要望の多かったものであり、既にUbuntu 17.10のベータコードに含まれているという。

UnityからGNOMEへの切り替えに伴い、Canonicalは同梱するデスクトップアプリケーションの検討を行っているが、幅広い意見を取り入れるために意見募集を行うことにしたそうだ。

意見は記事をクロスポストしたHacker NewsやReddit、Slashdotでコメントとして受け付けることを想定していたようだが、その後Googleフォームから送信可能となった。1つのカテゴリーに複数のアプリケーションを指定する場合はカンマで区切って入力すればいい。FOSSでないアプリケーションは「Vivaldi , non-free」のように「, non-free」を付記、該当カテゴリーで完全にWebアプリケーションへ移行している場合、「Gmail-web」のように「-web」を付記してほしいとのこと。

すべて読む | Linuxセクション | Linux | オープンソース | Ubuntu | ソフトウェア |

関連ストーリー：
LinuxノートPCの3割がWindowsとのデュアルブートという調査結果 2017年07月09日
Ubuntu 18.04ではデスクトップ環境がUnityからGNOMEに戻る 2017年04月09日
Mozilla、新ブランドアイデンティティーを発表、新ロゴは「moz://a」に 2017年01月21日
次期Android「N」の名前募集、インドの揚げ菓子が人気を集める 2016年05月29日
Canonical、仮想化ではない「Ubuntu on Windows」を発表 2016年04月01日
英国の極地調査船、奇妙な名前が数多く提案される 2016年03月24日
Ubuntuの利用者は10億人以上存在する？ 2015年12月28日
ユーザー数2億人の目標を掲げて4年、Ubuntuを実行するデバイスの台数は？ 2015年12月23日
投票の結果を受けてLinuxカーネルのバージョンが4.0に 2015年02月25日
Ubuntu 17.10ではウィンドウコントロールが右端に移動 2017年08月06日

GNOMEのファイルマネージャー「GNOME File (Nautilus)」で任意のVBScriptコードを実行可能な脆弱性「Bad Taste」が発見された(発見者による解説記事、 The Registerの記事、 Neowinの記事、 Bleeping Computerの記事、 CVE-2017-11421)。

問題はWindowsの実行ファイル(.exe)やWindowsインストーラーパッケージ(MSIファイル: .msi)などのアイコンをGNOME File上で表示するために使われる「gnome-exe-thumbnailer」のバージョン0.9.4-2以前に存在し、Wineがインストールされた環境で再現する。また、GNOME Fileのほか、「Cinnamon Nemo」や「MATE caja」といったファイルマネージャーも影響を受けるとのこと。

バージョン0.9.4-2までのgnome-exe-thumbnailerはMSIファイルを処理する際、Wineが利用できる場合には一時ファイルとしてVBSファイルをテンプレートから生成し、スクリプトを実行して「WindowsInstaller.Installer」オブジェクトからファイルバージョンを抽出する。しかし、スクリプトにはMSIファイルのファイル名が記述されるため、VBScriptコードとして解釈可能なファイル名にすることで任意のVBScriptコードを実行可能になる。

すべて読む | オープンソースセクション | オープンソース | セキュリティ | バグ | Wine | GNOME |

関連ストーリー：
開発に使われたPCがウイルスに感染していたためにウイルスが混入したと見られるAndroidアプリ、多数見つかる 2017年03月08日
新ブラウザ「Edge」ではActiveXやVBScriptがサポート外に 2015年05月11日
WineはChrome OS上では動かない 2014年04月09日
JSONをvbscriptとして読み込ませるJSONハイジャックに注意 2013年05月20日
Android上でWindowsアプリを動かす「Wine on Androidプロジェクト」 2013年02月07日
筋萎縮性側索硬化症の開発者、亡くなる3日前にモールス信号で修正したGNOMEのパッチを提出 2011年04月12日
GNOME 2.8 リリース 2004年09月16日

LinuxやUNIX系OSにおいて、一般ユーザーが不正に特権を得ることができる「Stack Guard Page Circumvention」と呼ばれる攻撃手法が発見された（Red Hat Customer Portal）。Linuxカーネルやglibc、sudoなどの脆弱性を利用するもので、幅広い影響が出るようだ。

ベースとなっているのは、スタック領域に多量のメモリ割り当てとデータ書き込みを行ってスタック領域を溢れさせることで、ヒープ領域のデータを不正に書き換えられることがあるという問題。Red Hatによると、関連する脆弱性はCVE-2017-1000364（Linuxカーネルのstack guard pageの脆弱性）、CVE-2017-1000366（glibcでLD_LIBRARY_PATHの値に細工をすることでヒープ/スタックの値を操作できる脆弱性）、CVE-2017-1000367（sudo 1.8.20以前の入力バリデーションの不備）という3つとされている。osdn曰く、

スタック範囲を他のメモリ領域と衝突させて悪用できる問題は2005年と2010年に示され、対策が取られてきました。しかしセキュリティ企業Qualysが19日、少なくともLinux、OpenBSD、NetBSD、FreeBSD、Solarisのi386とamd64では対策の不備があり、実際に悪用可能か、少なくともPoCが存在することを示しました。（ITmedia）。

数多くの入口からローカル権限上昇攻撃ができた （あるいは理論上可能な道筋がある） そうです。緩和策としてはlimits.conf等でスタックを制限することなどがありますが、完全ではありませんし副作用も大きいです。各ベンダーには既に通知され、順次対策が取られることになっていますので、アップデートの用意をしておくのが最善でしょう。

アドバイザリによれば、Debianでも8.5と8.6、また8.xと9以上の間には脆弱さに大きな違いがあり、最新のものほど効率よく悪用することは難しくなってきているそうです。

しかし現状で最も簡単に悪用できる方法はi386のDebianでEximを使ってローカル権限上昇をすることだ、とQualysは指摘しています。またOpenBSDではatを使って攻撃しようとしたものの、ファイルシステムが遅すぎて、一週間かけてもヒープがスタックに届くほどの数のジョブファイルを作成できなかったそうです。

なお、今回は64bitでもスタックと他領域が近い場合があることも示されましたが、基本的にはメモリ領域が広い方が安全です。

grsecurity/PaXにはスタック・ガードページの大きさを変更できる機能があるので、これを大きくするのは簡単で有効です。またGCCには-fstack-checkというオプションがあり、各4KBページにアクセスすることで、スタックポインタが他領域に行ってしまう前に必ずガードページに当たり、SEGVになってくれるそうです。パフォーマンスに影響はありますが、長期的には良い方法だとQualysは指摘しています。

すべて読む | オープンソースセクション | Linux | セキュリティ | BSD |

関連ストーリー：
Linux向けのHDD暗号化機構に脆弱性、Enterキーを押し続けるだけでroot権限を取得 2016年11月17日
Linuxカーネルに11年以上前から存在する特権昇格の脆弱性「Dirty COW」が修正される 2016年10月22日
TCP仕様の1つに中間者攻撃可能な脆弱性、Linuxが影響を受ける 2016年08月18日
Windows 10のLinuxサブシステムは新たな攻撃経路となるか 2016年08月09日

あるAnonymous Coward曰く、

アニメ録画支援ソフトとして一部の人をハートキャッチしている録画支援Linuxアプライアンス　foltia ANIME LOCKERの新版5.0が発売された。本バージョンでは何故か録画支援ソフトなのにオープンソースの分散型SNSであるMastodonのサーバー機能を追加しており一部で話題になっている。

リリース曰く、

VPSを新たに借りるほどでもなく、個人サーバの台数を増やすのも電気代や場所の観点から気がひけるという個人の方も多いことから、foltia ANIME LOCKERの内部にMastodonサーバの機能を取り込むことでMastodonを利用したい多くの方に便利

と意味不明の供述しており、動機は不明。

ただ、開発者インタビューをまじめに読んでみると、録画終了などの通知をMastodon機能を通じて出す事で、Twitterの名前空間を汚さずに通知などを出すことができる、というアイデアのようである。このようにMastodonを分散プッシュ通知プラットフォームと考えれば、ほかの家電やサービスがMastodon機能を搭載して、みながGnuSocialでしゃべり出す未来もあるかのように錯覚しそうになった。

すべて読む | idleセクション | オープンソース | インターネット | idle | SNS |

関連ストーリー：
数式が書けるSNS「Mathtodon」登場 2017年04月26日
PixivがAndroid向けMastodonクライアントを公開 2017年04月25日
分散型SNSのMastodon、突然のブームでトラブルも 2017年04月17日
Twitterのライバルと目される「Mastodon」 2017年04月13日