既にコメントしましたが、 OpenBSD が OpenSSL を大掃除しています (本家記事)。 libssl/src/ssl だけを見ても、CVS に罵倒と修正がひっきりなしに記録されています。

Heatbleed 対策のパッチだけで満足しなかった理由は、彼らから見て Heartbleed が単なるバグでも単なる仕様の問題でもなく、セキュリティ意識の問題だからです。

何年も前から 「OpenSSL はサルが書いてるんだろう」と揶揄していたとおり、OpenSSL コードの品質が低いことを OpenBSD 開発者たちは知っていましたが、それが 意識や責任感の問題だという確信はまだなかったのかもしれません。 OpenBSD にはメモリ防護機構がありますので、Heartbleed 脆弱性があっても当初、 malloc.conf に J オプションを付ければ free 済みメモリはシュレッダーにかけられ秘密は漏れないだろうと思ったそうです。しかし実際には効きませんでした。OpenSSL は独自の freelist を管理することで、脆弱性緩和策を回避し、確実に脆弱になるように書かれていたのです (拙訳)。しかも、オプションで普通の malloc/free を使うようにすると動作しません。それは freelist に捨てたメモリを拾い直しても内容が同じであるという前提のコードだったからです。つまり OpenSSL は、速度のためにセキュリティを犠牲にするオプションを追加し、それをデフォルトにし、それを無効にした場合のテストをしていなかったということになります。こうした事情を考えた結果、それまでは上流とマージしやすい状態を保っていた OpenSSL を、今後は OpenBSD 独自にメンテナンスすることに決めたということのようです。

ちなみに OpenBSD は、「俺たちがいないと困るだろう。だったら続けられるように金をくれ」と言っています。今のままの OpenSSL で満足なら無視すればいいのですが、OpenBSD がこれまでどおり OpenSSH などを開発しつつ、それに加えて OpenSSL にも注力することを望む場合には、OpenBSD の CD 購入や寄付といった援助を増やすことができます。彼らは 「脆弱性をスポンサーに売って暮らしているような開発チームはバグを減らしたくないはずだ」と言って FreeBSD に敵意を向けています。そういった形態をとらずに開発を続けている OpenBSD が資金に苦労する日々はまだ続きそうですから、今回の件は、資金集めのための話題づくりという意図もあるのかもしれません。

4 日間で OpenBSD が既定サーバの選択を大きく変えました。 OpenSMTPd がデフォルトのメールデーモンになり (sendmail も利用可能)、 Apache httpd が削除され nginx が唯一デフォルトのウェブサーバになり (httpd は ports/packages から利用可能)、 unbound も追加されました (BIND named も利用可能)。 smtpd は既定で実行されるようですが、nginx, nsd, unbound は /etc/rc.conf.local の *_flag を調整する必要があります。 これらは次期 5.5 ではなく、5.6 リリースに反映される予定です。このようにリリースサイクルの最初期に大幅な変更をすることで、半年ほど熟成することが可能になります。特に httpd が削除されて困るユーザは、早く対策をとるべきでしょう。

D-Link 製のルータには、User-Agent を xmlset_roodkcableoj28840ybtide という文字列にしただけで設定を変更できてしまうバックドアがあるらしいです。同じファームウェアが Planex の BRL-04UR や BRL-04CW にも使われているそうです。犯人は Joel さんなのでしょうか。

「プログラマが足りないんじゃない、優秀なプログラマが足りないんだ」という雇用者の皆様、コーディング能力を数値化するサービスHackerMeterがありますよ。もちろん自分の能力を正当に評価してもらいたいプログラマの皆様も嬉しいですね。（Techcrunchに日本語の紹介記事があります）

サイトを見て目を疑ったが、言われてみれば今 FreeBSD って 9.2 とかだっけ？
5 を否定してできたんだから 10 年経っててもおかしくないですな。
年取るわけだわ。

ウェブブラウザ会社 Opera Software のセキュリティチームブログによると、喜ばしいことに、Opera 社のセキュリティホールが修正された (security breach stopped) のだそうです。内部インフラへの侵入を停止したのでユーザ情報などは抜かれていないようですし、鍵を奪われた証明書を無効にしたので、先週水曜午前10時から36分間に自動更新した Windows 版ユーザ以外は、署名入りマルウェアをインストールした危険もありません。本当に良かったですね。

今年の IOCCC (International Obfuscated C Code Contest) の結果が出ています。(本家記事)

日本人受賞者は三名で、README もアジア勢の躍進に言及しています。

Best one liner は今回もTaketo Konno氏です。
Honorable mention受賞者のYusuke Endoh 氏は解説がとても親切です。この気持ち悪さでも金賞じゃないなんて、まさに「目を見張る変態ぞろい」ですね。
そして Silver award がTsukasa Hamano氏です! 受賞作は「もう既に自分でも理解出来なくなってきてる」とのこと。

Google のセキュリティチームは、Google Chrome ブラウザに組み込まれた PDF エンジンに (Flash プラグインと同様) fuzzing の手法を適用し、たくさんの脆弱性を発見・修正してきました。
それに気をよくして同じ手法で Adobe Reader を調査したところ、こちらにも深刻な問題がいろいろと見つかり、連絡を受けた Adobe は先日の APSB12-16 アップデート で (Linux 版を除き) 修正しました。
しかしながら、報告済みのクラッシュ事例のうち 16 件は修正されていませんし、Linux にいたっては、APSB12-16 前後の差分から容易に推測できる脆弱性が放置された状態です。これらすべてが、外部の人間によって、公開 PDF からのコーパスと通常の mutation/fuzzing 手法で発見されたことを考えれば、しばらくのあいだは信頼できる PDF 以外を Adobe Reader で開かないようにすべきでしょう。(本家記事)

紫外線で液体に、可視光で固体にすることのできる材料を産総研が開発した。
室温で繰り返し固化・接着することができるうえ、加熱不要なのでゆがみが少ないという。

MIT のコンピュータ科学者Ｓ・アーロンソンは、量子コンピューティング理論の発展を目的として、 「スケーラブルな量子コンピューティングが実世界では実現不可能だという証明を私に納得させたら 10万ドル」 (a US$100,000 award for a demonstration, convincing to me, that scalable quantum computing is impossible in the physical world) という懸賞を始めた。(本家記事)

期限は特になく、応募方法も、「科学者コミュニティの合意ができればいいんだから、メールする必要はないだろう」というもの。 また、実現可能性を大幅に減少させたなら賞金の一部だけを支払うこともありうるらしい。 彼の経歴を考えればわかるとおり、彼自身は「支払うことにはならないと予想している」が、もし証明されればノーベル章は確実なので、そこに「少し賞金を足すなんて、名誉なことだと思って」と、懸賞の動機を語っている。