7/11 是週六,科技圈整體偏靜,多數大廠新聞集中在前一天(蘋果控告 OpenAI 竊取商業機密等大戲)已在 7/10 專題報導過,此處不重複。以下是可獨立驗證、確實發生於 7/11 當天的重點。
🚨 今日科技重點
- Zimbra Classic Web Client 爆嚴重 Stored XSS 漏洞 — 一封精心構造的郵件即可在使用者 session 中執行惡意腳本,影響數億使用者、數千企業與政府機關使用的郵件協作平台。
💡 尚未取得 CVE 編號,但官方已釋出 ZCS v10.1.19 修補,Classic Web Client 使用者應立即升級。
- Debian 13.6 (Trixie) 正式發布 — Trixie 系列第六個點版本,收錄 124 項錯誤修正與 120 項安全更新,重頭戲是處理 2013 年版 UEFI Secure Boot CA 到期問題。
💡 若不處理,未來 shim-signed 更新可能導致啟用 Secure Boot 的機器無法開機——建議儘快套用此更新。
⚙️ Backend / Infra
- Debian 13.6 更新內容 — 除 Secure Boot CA 轉換外,也涵蓋 Linux kernel、Nginx、Redis、FFmpeg、Thunderbird、Chromium、PHP 等套件的安全性修補,是日常維運不能跳過的一次點版本更新。
- Evan Hahn:SQLite 應優先使用 STRICT 資料表 — SQLite 預設欄位型別十分寬鬆,容易讓錯誤型別的資料悄悄混入資料庫;文章主張建表時加上
STRICT,讓型別檢查在寫入當下就攔截,而不是等到查詢出錯才發現。
🛡️ 資安快訊
- Zimbra Classic Web Client Stored XSS — 據報是由 Google 威脅分析團隊(TAG)發現並通報,攻擊者可藉此竊取 session 資料、帳號設定或信箱內容;由於是 Stored XSS,使用者只要打開/預覽惡意郵件即可觸發,不需額外點擊連結。目前修補僅涵蓋 Classic Web Client。
🎯 工程師建議
- 盤點還在用 Zimbra Classic Web Client 的環境:即使公司主要用新版 Web Client,仍應確認是否有使用者被切到 Classic 介面,並強制套用 v10.1.19。
- 資料表加上 STRICT:如果專案用 SQLite 儲存結構化資料,評估是否能導入
STRICTtable,把型別錯誤攔在寫入時,而不是留給日後排查。
🎪 社群趣事 & 新知
- Show HN:RISCBoy,從零打造的開源掌上遊戲機 — 自製 RISC-V 相容 CPU、繪圖管線與客製 PCB,跑在僅約 7,680 個邏輯元件的 iCE40-HX8k FPGA 上,向 2000 年代初期掌機致敬,7/11 登上 HN 熱門討論(206 points)。
- Show HN:用「重建 Redis、Git、資料庫」的方式學習 — Ship That Code 提供 80 多門「從零打造真實系統」的實作課程,強調動手做加真實測試案例,而非制式教學影片,7/11 於 HN 引發討論(196 points)。
- Show HN:Ant,一款輕量 JavaScript runtime — 定位為輕量級 JS 執行環境,7/11 登上 HN 首頁並帶動一波留言(326 points),細節公開資訊目前仍相對精簡。
End of article