2021年11月アーカイブ

 

 

Windows 10 21H2 の古めのパソコンなのですが、Thunderbird を91.3.2にバージョンアップし再起動したところ、Thnuderbirdが立ち上がって受信トレイは表示され、メールの送受信は問題ないものの、「設定」を開くと、その後は何をクリックしても無反応で、1分くらいすると、メモリを食い尽くして、Thunderbird がクラッシュします。

thunderbird_crash_3.png

thunderbird_crash_1.png

●クラッシュレポートの一部

AdapterDeviceID: 0x1287
AdapterDriverVersion: 27.21.14.5671
AdapterSubsysID: 108110de
AdapterVendorID: 0x10de
Add-ons: ...
AvailablePageFile: 2373210112
AvailablePhysicalMemory: 520609792
AvailableVirtualMemory: 160247808
BlockedDllList:
BreakpadReserveAddress: 126484480
BreakpadReserveSize: 83886080
BuildID: 20211117150618
CPUMicrocodeVersion: 0xa
ContentSandboxCapable: 1
ContentSandboxLevel: 1
ContentSandboxWin32kState: Win32k Lockdown disabled -- Preference not set
CrashTime: 1637650495
DOMIPCEnabled: 1
FramePoisonBase: 0000004041080832
FramePoisonSize: 65536
GPUProcessLaunchCount: 1
GPUProcessStatus: Running
InstallTime: 1637373468
LauncherProcessState: 0
ModuleSignatureInfo: ...
MozCrashReason: MOZ_CRASH()
Notes:
FP(D10-L1100-W00001000-T000) DWrite? DWrite+ WR? WR+ OMTP? OMTP-
OOMAllocationSize: 25616
ProductID: {3550f703-e582-4d05-9a08-453d09bdfdc6}
ProductName: Thunderbird
ReleaseChannel: release
SafeMode: 0
SecondsSinceLastCrash: 2339
StartupCrash: 0
StartupTime: 1637650411
SystemMemoryUsePercentage: 93
...

アドオンをすべてオフにしても同じ現象、
「グラボを使わない」設定にしても同じ現象です。
「設定」を開かなければ問題なく使えます。

トラブルシューティングモードで起動すると「設定」タブが開いた状態でも正常に操作ができる(アドオンと「設定」の一部を除き、動作OK!)ので、まずはトラブルシューティングモードで起動して、「設定」タブを閉じましょう。

トラブルシューティングモードで起動するには、SHIFTキーを押しながらThnderbirdの起動ショートカットをダブルクリック(タスクバーのアイコンならシングルクリック)し、以下の画面で「トラブルシューティングを続ける」をクリックします。

thunderbird_crash_2.png

原因不明です。
言語パックの問題では?という情報もあります。

Latest versions of Thunderbird all crash when entering Preferences menu (reddit)
原因ですが、言語パックがインストールされていると本現象が発生する模様です。「三本線アイコン」→「アドオンとテーマ」→左の「言語パック」から、登録してある言語パックをすべて削除すればクラッシュしなくなります。他の言語のThunderbirdを使いたい場合は、こちらからダウンロードするしかないのかもしれません。

thunderbird_crash_4.png

thunderbird_crash_5.png

ぐっどらっこ。

Chromeブラウザのアドレスバーに

data:text/html, <html contenteditable>

と入力してEnterを押すと、表示欄に文字が入力できるようになる。
PCはもちろん、スマホでもOK。

でも、もっと簡単な文字列がいいな。

参考サイト:Google Chrome活用で作業効率を飛躍的に上げる7つのヒント(lifehacker)

ぐっどらっこ。

まずは、用語の説明です。
2SV 2 Step Verification
2FA 2 Factor Authentication
です。
要は、パスワードの他に、SMSなどの他の仕組みを使っての2段階認証のことです。

そして、本題です。
11月2日、GMAILに

11月9日にログイン方法が変わります
まもなくログインの 2段階認証プロセスが有効になります
パスワードの入力に続けて、スマートフォンで 2 つ目の手順を完了していただくようになります。ログインする際はスマートフォンをお手元にご用意ください。
2段階認証プロセスは 11月9日に自動的に有効になります。ご希望の場合は、今すぐ有効にできます。アカウントの設定は完了しました。

というメールが届きました。
Googleさんは、全力で利用者全員の2SV化を進めている模様です。

そして、11月10日の朝、

ログイン方法が変更されました
お使いのアカウントで 2段階認証プロセスが有効になりました

というメールが来て、2段階認証が勝手にオンになりました。
(この確認をしようと「Googleアカウントを管理」にアクセスしようとした時、すでにログインしている端末(信頼できるデバイス)では、改めて2SVを求められることはありませんでした。)

google_2sv_1.png

でも、だいじょうぶ
iOSの2段階認証はオフにできませんが、Googleの2段階認証はオフにすることができます。(執筆時点)
設定・解除方法はこちら。
https://support.google.com/accounts/answer/185839

1分間、考えました。
このまま、2段階認証をオンにしておけば、確かに、安全性は高まる。
でも、スマホがないときにログインできなくなってしまう不便さは残る。
んーーー。
結果、2段階認証はオフにしました。
よい子はマネしないでね!

2つ目の認証方法として利用できるのは、SMS(複数の電話番号の登録可)の他に、
バックアップコード(SMSが使えないときに、あらかじめ取得したこのコードを使うと認証できる)
認証システムアプリ(Google謹製の認証アプリ。これを使うにはスマホが必要なのでボツ)
セキュリティキー(USBやNFCタイプのキー(YubiKeyなど)を購入して使う。これが手元にないとだめなのでボツ)
がありますが、Eメールを使っての2SVはできません。

ぐっどらっこ。

ホームページの更新に、Movable Typeを利用している、しかも、MT3(今回の脆弱性問題はMT4以上が対象です)とかMTOSとかの、もうサポートされていないバージョンを使っている人が、まだ一定数はいるのではないかと思います。
そんな方を含めた、MTユーザーの方への重要な注意喚起です。

IPAからも次のリリースが出ています。

「Movable Type」の XMLRPC API における OS コマンド・インジェクションの脆弱性について(JVN#41119755)
https://www.ipa.go.jp/security/ciadr/vul/20211020-jvn.html
CVEコードは、 CVE-2021-20837 です。

CVSS V3のスコアが 9.8 という、非常に深刻度の高いものになっています。

基本値: 9.8 (緊急) [IPA値]

  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 低
  • 攻撃に必要な特権レベル: 不要
  • 利用者の関与: 不要
  • 影響の想定範囲: 変更なし
  • 機密性への影響(C): 高
  • 完全性への影響(I): 高
  • 可用性への影響(A): 高

サポート中のバージョンを利用している人は、最新版にアップデートしましょう。
サポート中のバージョンであっても、なんらかの理由でバージョンアップができない場合、そして、MT4.0以上でサポートが終了しているバージョンを使っている人は、すぐに対策を行いましょう。

以下は、FTPソフトにFFFTPを使っている場合の対策です。
1.サーバーにFTP接続します。
2.管理画面へアクセスするために使っている mt.cgi というファイルが存在するフォルダ内にある mt-xmlrpc.cgi というファイルを見つけます。
3.mt-xmlrpc.cgi を右クリック→「属性の変更」で、「実行」欄のすべてのチェックをはずします。または、mt-xmlrpc.cgi ファイル自体をを削除してしまいましょう。

vulnerability_mt-xmlrpc.png

設定は以上ですが、外部からXMLRPC APIを使ってブログの更新を行っている場合は、この設定により更新ができなくなります。

この脆弱性用の実証コード(PoC)がすでに公開されていて、サーバーにバックドアが作成されたり、改ざんされたりするなどの被害が出ている模様です。

【注意喚起】Movable Typeの脆弱性を狙う悪質な攻撃を観測、至急対策を!
https://www.lac.co.jp/lacwatch/alert/20211102_002780.html

アップデートが行えない場合の対処方法について(Six Apart社)
https://www.sixapart.jp/movabletype/news/2021/10/20-1100.html#noupdate

なお、最新版以外のMTには、この問題以外にもXSSなどの脆弱性が存在しますので、上記の対策を行ってもリスクが残ることは認識しておきましょう

おまけ。

MTDDC Meetup Tokyo 2021公式サイト

ぐっどらっこ。

linuxサーバーの環境変数をperlを使って表示させるには、以下のスクリプトを 〇〇.cgi にてサーバー上に作成して、実行権を付与して、ブラウザからアクセスします。

#!/usr/local/bin/perl
print "Content-type: text/html", "\n\n";
print "<HTML><BODY>", "\n";
print "<H1>ENV</H1><HR>", "\n";
foreach my $key( keys %ENV ){
print "$key: $ENV{$key} ";
print "<BR />", "\n";
}
print "<HR>", "\n";
print "</BODY></HTML>", "\n";

実行結果。

display_environment_variables_linux_using_perl.png

ぐっどらっこ。

2021/11/23 追記
11/22に6.1.30がリリースされました。これで直っているはずです。→直りました。上書きインストール後、Macを再起動したほうがいいかも。
https://www.virtualbox.org/wiki/Changelog

2021/11/04 追記
以下の対応を行っても、スリープから復帰するなど、なにかの拍子に、再び同じエラーになることがわかりました。(っていうか、バージョンアップしないでも、以下のコマンドだけでよかったのか?今となっては不明....)
VirtualBoxを再インストールすると直るのですが、もう少し簡単な方法があります。

ターミナルを起動して、以下のコマンドを実行します。

sudo kextload -b org.virtualbox.kext.VBoxDrv
sudo kextload -b org.virtualbox.kext.VBoxNetFlt
sudo kextload -b org.virtualbox.kext.VBoxNetAdp
sudo kextload -b org.virtualbox.kext.VBoxUSB

上記についてはここに書いてありました。

---- 記事本文はここから ----

iMac(Late 2015)をMontereyにしたら、VirtualBoxのWindows 10が動かなくなりました。
VirtualBoxは、6.1.14 です。

monterey_virtualbox.png


where: suplibOslnit what: 3
VERR_VM_DRIVER_NOT_INSTALLED
(-1908) - The support driver is not installed.
On linux, open returned ENOENT.

仮想マシン"windows10"のセッションを開けませんでした。
The virtual machine 'windows10' has terminated unexpectedly during startup with exit code 1 (0x1).
終了コード : NS_ERROR_FAILURE (0x80004005)
コンポーネント: MachineWrap
インターフェース: IMachine {85632c68-b5bb-4316-a900-5eb28d3413df}

最新版のVirtualBoxにすればいいのか?と思い、VirtualBoxの日本語サイトにサクセスすると、https://www.oracle.com/jp/virtualization/technologies/vm/downloads/virtualbox-downloads.html
「最新リリースはバージョン6.1.14です。」とあります。
んーーーー。

USのサイトにアクセスすると、
https://www.oracle.com/virtualization/technologies/vm/downloads/virtualbox-downloads.html
「The latest release is version 6.1.28.」
んーーーー。

いや、最初からここにアクセスすればよかった模様。
https://www.virtualbox.org/

というわけで、サイトからdmgファイルをダウンロードしてインストールしたところ、今度は、

インストールできませんでした。

というエラーが発生してインストールできませんでした。
こちらのエラーは、

MacでVirtualBoxがインストールエラーになる(セキュリティーとプライバシーの許可が出来ない)場合の対処法
https://shoji014.com/virtualbox-error/

で解決しました。

なお、6.1.28にしてもヘッドレスモードで起動できないので「通常起動」での起動が必要です。ヘッドレスモードでの起動は、間もなくリリースされるであろう 6.1.29 を待つしかなさそうです。
https://forums.virtualbox.org/viewtopic.php?f=39&t=103416#p508251

急いでMontereyにバージョンアップする必要がない人は、それを待つのも一案です。

ぐっどらっこ。