Daily News 2026 年 7 月 11 日

📡 科技日報 — 2026-07-11

7/11 是週六,科技圈整體偏靜,多數大廠新聞集中在前一天(…

7/11 是週六,科技圈整體偏靜,多數大廠新聞集中在前一天(蘋果控告 OpenAI 竊取商業機密等大戲)已在 7/10 專題報導過,此處不重複。以下是可獨立驗證、確實發生於 7/11 當天的重點。

🚨 今日科技重點

  • Zimbra Classic Web Client 爆嚴重 Stored XSS 漏洞 — 一封精心構造的郵件即可在使用者 session 中執行惡意腳本,影響數億使用者、數千企業與政府機關使用的郵件協作平台。

    💡 尚未取得 CVE 編號,但官方已釋出 ZCS v10.1.19 修補,Classic Web Client 使用者應立即升級。

  • Debian 13.6 (Trixie) 正式發布 — Trixie 系列第六個點版本,收錄 124 項錯誤修正與 120 項安全更新,重頭戲是處理 2013 年版 UEFI Secure Boot CA 到期問題。

    💡 若不處理,未來 shim-signed 更新可能導致啟用 Secure Boot 的機器無法開機——建議儘快套用此更新。


⚙️ Backend / Infra

  • Debian 13.6 更新內容 — 除 Secure Boot CA 轉換外,也涵蓋 Linux kernel、Nginx、Redis、FFmpeg、Thunderbird、Chromium、PHP 等套件的安全性修補,是日常維運不能跳過的一次點版本更新。
  • Evan Hahn:SQLite 應優先使用 STRICT 資料表 — SQLite 預設欄位型別十分寬鬆,容易讓錯誤型別的資料悄悄混入資料庫;文章主張建表時加上 STRICT,讓型別檢查在寫入當下就攔截,而不是等到查詢出錯才發現。

🛡️ 資安快訊

  • Zimbra Classic Web Client Stored XSS — 據報是由 Google 威脅分析團隊(TAG)發現並通報,攻擊者可藉此竊取 session 資料、帳號設定或信箱內容;由於是 Stored XSS,使用者只要打開/預覽惡意郵件即可觸發,不需額外點擊連結。目前修補僅涵蓋 Classic Web Client。

🎯 工程師建議

  • 盤點還在用 Zimbra Classic Web Client 的環境:即使公司主要用新版 Web Client,仍應確認是否有使用者被切到 Classic 介面,並強制套用 v10.1.19。
  • 資料表加上 STRICT:如果專案用 SQLite 儲存結構化資料,評估是否能導入 STRICT table,把型別錯誤攔在寫入時,而不是留給日後排查。

🎪 社群趣事 & 新知

End of article
0
Would love your thoughts, please comment.x
()
x