Discuss Scratch
- Discussion Forums
- » 日本語
- » お知らせ・ニュース
![[RSS Feed]](//cdn.scratch.mit.edu/scratchr2/static/__d235e7f35585482ca999583499337ccd__//djangobb_forum/img/feed-icon-small.png "[RSS Feed]")
![[RSS Feed]](http://cdn.scratch.mit.edu/scratchr2/static/__d235e7f35585482ca999583499337ccd__//djangobb_forum/img/feed-icon-small.png "[RSS Feed]"){kind=icon}
- Poteto143
-
Scratcher
1000+ posts
お知らせ・ニュース
ペイントエディターがアップデート
今回のアップデートで、ベクターモード時に図形の枠線のグラデーションが出来るようになりました。
出典: https://scratch.mit.edu/discuss/topic/436704/
今回のアップデートで、ベクターモード時に図形の枠線のグラデーションが出来るようになりました。
出典: https://scratch.mit.edu/discuss/topic/436704/
Last edited by Poteto143 (Sept. 5, 2020 08:21:42)
- ryouuuuoyr
-
Scratcher
1000+ posts
お知らせ・ニュース
Japanese Scratch-Wikiの記事が1000個を超えました!!
Last edited by ryouuuuoyr (Nov. 26, 2020 06:54:21)
- Poteto143
-
Scratcher
1000+ posts
お知らせ・ニュース
「見る」ページの「流行」について
該当ページの「流行」が「傾向」に変更されました。
これは、今Scratchで作られている作品の傾向を見るためのページに載ることが、それ以上の価値を持っていると受け取られ無意味な競争を生むことを改善するためだそうです。
出典 https://scratch.mit.edu/discuss/post/4383742/
該当ページの「流行」が「傾向」に変更されました。
これは、今Scratchで作られている作品の傾向を見るためのページに載ることが、それ以上の価値を持っていると受け取られ無意味な競争を生むことを改善するためだそうです。
出典 https://scratch.mit.edu/discuss/post/4383742/
- rento1904
-
Scratcher
100+ posts
お知らせ・ニュース
宣伝コーナー、リニューアルオープン!
※ルールが変更されているので、
#1を必ずお読みください。※
大事なお知らせなので複数のトピックでお知らせしています
※ルールが変更されているので、
#1を必ずお読みください。※
大事なお知らせなので複数のトピックでお知らせしています
- apple502j
-
Scratcher
1000+ posts
お知らせ・ニュース
緊急 ScratchにXSSの脆弱性
Scratchで使用されているSVG描画エンジンに、クロスサイトスクリプティングの脆弱性が発見されました。特に、Scratch デスクトップ等のダウンロード版では、加工されたプロジェクトファイルを開いた場合にウイルス等任意のコードが実行される可能性があるため、至急対策を行ってください。
なお、この脆弱性はScratchウェブサイト、すべてのバージョンのScratch デスクトップ、その他ScratchのmodなどScratchのSVG描画エンジンを使用しているパッケージで確認されています。また、Android/Chromebook版のScratchアプリでの再現報告はありませんが、同様の攻撃が可能である可能性が高いです。なお、今回の脆弱性と類似のものが、Forkphorusにも見つかっています。
対策
・Scratchウェブサイト: すでに修正済みです。
・Scratch デスクトップ: 最新バージョン3.17.1をダウンロードしてください。Windowsを使用しているユーザーは、必ずダウンロード版をインストールしてください。
・Scratchのmodを利用している場合: git pullコマンド等を使用し、最新のscratch-guiのソースコードをpullした後node_modulesフォルダーとpackage-lock.jsonファイルを削除し、npm installコマンドを再実行してください。scratch-svg-rendererに変更を加えている場合は、Gitにてこのpatchファイルを適用した後にnpm installコマンドを実行してもよいです。
・Forkphorusウェブサイト: すでに修正済みです。
・Forkphorusのmod: git pullコマンド等を使用し、最新のForkphorusのソースコードを入手してください。
技術的詳細
・CVE: CVE-2020-7750
・CVSS score: 9.6(緊急) - CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
・CWE: CWE-79/Improper Neutralization of Input During Web Page Generation
その他のアップデート
告知する機会がなかったためここで書いておきます。
・2週間前にバージョン3.16.1がリリースされました。このバージョンでは、Scratch デスクトップが「Scratch 3」に改名されました。また、9月分のScratchの更新も含まれています。
・10月10日にバージョン3.17.0がリリースされました。このバージョンでは、同様の脆弱性が修正されましたが、のちに対策は回避できることが発見されています。
アップデート方法
Microsoftストア版を使用しているユーザーは、アンインストールし、ダウンロード版に切り替えてください。
macOS App Store版
・自動更新によって更新が配信されているはずです。
ダウンロード版
・インストール方法は公式ダウンロードページ参照: https://scratch.mit.edu/download
質問など
当該脆弱性に関する質問は、 Scratch 3.0 をハック(動作や構造を解析すること)しよう!トピックで受け付けています。
Scratchで使用されているSVG描画エンジンに、クロスサイトスクリプティングの脆弱性が発見されました。特に、Scratch デスクトップ等のダウンロード版では、加工されたプロジェクトファイルを開いた場合にウイルス等任意のコードが実行される可能性があるため、至急対策を行ってください。
なお、この脆弱性はScratchウェブサイト、すべてのバージョンのScratch デスクトップ、その他ScratchのmodなどScratchのSVG描画エンジンを使用しているパッケージで確認されています。また、Android/Chromebook版のScratchアプリでの再現報告はありませんが、同様の攻撃が可能である可能性が高いです。なお、今回の脆弱性と類似のものが、Forkphorusにも見つかっています。
対策
・Scratchウェブサイト: すでに修正済みです。
・Scratch デスクトップ: 最新バージョン3.17.1をダウンロードしてください。Windowsを使用しているユーザーは、必ずダウンロード版をインストールしてください。
・Scratchのmodを利用している場合: git pullコマンド等を使用し、最新のscratch-guiのソースコードをpullした後node_modulesフォルダーとpackage-lock.jsonファイルを削除し、npm installコマンドを再実行してください。scratch-svg-rendererに変更を加えている場合は、Gitにてこのpatchファイルを適用した後にnpm installコマンドを実行してもよいです。
・Forkphorusウェブサイト: すでに修正済みです。
・Forkphorusのmod: git pullコマンド等を使用し、最新のForkphorusのソースコードを入手してください。
技術的詳細
・CVE: CVE-2020-7750
・CVSS score: 9.6(緊急) - CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
・CWE: CWE-79/Improper Neutralization of Input During Web Page Generation
その他のアップデート
告知する機会がなかったためここで書いておきます。
・2週間前にバージョン3.16.1がリリースされました。このバージョンでは、Scratch デスクトップが「Scratch 3」に改名されました。また、9月分のScratchの更新も含まれています。
・10月10日にバージョン3.17.0がリリースされました。このバージョンでは、同様の脆弱性が修正されましたが、のちに対策は回避できることが発見されています。
アップデート方法
Microsoftストア版を使用しているユーザーは、アンインストールし、ダウンロード版に切り替えてください。
macOS App Store版
・自動更新によって更新が配信されているはずです。
ダウンロード版
・インストール方法は公式ダウンロードページ参照: https://scratch.mit.edu/download
質問など
当該脆弱性に関する質問は、 Scratch 3.0 をハック(動作や構造を解析すること)しよう!トピックで受け付けています。
Last edited by apple502j (Oct. 22, 2020 08:44:09)
- nyankotrain
-
Scratcher
1000+ posts
お知らせ・ニュース
この投稿では、last post切れの予防をしているばい! 「lead postのリンク切れ」が起きてると・き・に・は「この投稿」をCHECK IT OUT!! はい!!! (すいませんやってみたかっただけです)
Last edited by nyankotrain (Nov. 17, 2020 11:20:20)
- apple502j
-
Scratcher
1000+ posts
お知らせ・ニュース
Scratchのメール認証システムが更新されました。
・メール認証関連の操作はパスワードの再入力が必須となりました。(以前はパスワードが不要であったため、XSSによってアカウントのメールアドレスが変更できました。)
・メールアドレスが認証されていない段階でもメールアドレスを変更できるようになりました。(以前はメールアドレスを打ち間違えた場合は個別に連絡をとらなければいけませんでした。)
・メール認証関連の操作はパスワードの再入力が必須となりました。(以前はパスワードが不要であったため、XSSによってアカウントのメールアドレスが変更できました。)
・メールアドレスが認証されていない段階でもメールアドレスを変更できるようになりました。(以前はメールアドレスを打ち間違えた場合は個別に連絡をとらなければいけませんでした。)
- ryouuuuoyr
-
Scratcher
1000+ posts
お知らせ・ニュース
TamagOtchiChiさんの
「かわいい子猫クリエーター 1.0 || Kawaii Kitte」が
注目のプロジェクトに選ばれました。
「かわいい子猫クリエーター 1.0 || Kawaii Kitte」が
注目のプロジェクトに選ばれました。