HackerNews 摘要 (2023-06-12 05AM)

來源: halting problem :: Dev v Ops

摘要
Richard Brown在2017年Manchester的GUADEC上發表討論新的打包系統—例如AppImage、Snap和Flatpak時，提出了作為Linux分發集成者的反對意見。他認為，Linux分發的開發人員及系統管理員不應只關注整體作業系統，而應該關注程式碼撰寫者與打包者之間的脫節問題。

事實

💻 Richard Brown在2017年Manchester的GUADEC上提出反對新的打包系統的意見。

💼 Linux分發的開發人員及系統管理員并不在乎誰寫下的程式碼, 只在意作業系統的整體運作。

🔎 Richard Brown提出由於程式碼撰寫者與打包者之間脫節的問題，Linux分發的開發人員及系統管理員對新的打包系統表示反對。

🤝 Richard Brown的討論為Flatpak和Flathub工作人員們早期識別問題及改進提供了幫助。

---

來源: Why millions of usable hard drives are being destroyed

摘要
加密磁碟清除只需幾秒鐘，刪除加密密鑰後，原始數據無法被讀取但實際上仍存在。

事實

🔐 內置加密：現代許多硬碟內置加密，除非有密碼或密鑰，否則無法讀取數據。

🔄 安心轉售：加密磁碟清除後重新販售，數據並不會消失，但未掌握解密方法时仍無法讀取內容。

---

來源: Every Signature is Broken: On the Insecurity of Microsoft Office’s OOXML Signatures

摘要
研究人員發現，Microsoft Office 簽名存在嚴重的安全漏洞，可以讓攻擊者在維持簽名有效的情況下任意修改文件內容，受害者無法發現篡改。同時還有簽名偽造攻擊，可以讓攻擊者利用其他認證來源的簽名將任意文件偽造成一個已被受信任審核的文件，受害者難以識別。研究人員提出了預防措施，Microsoft 對該漏洞進行了認可和獎勵。

事實

🔍 Microsoft Office 的簽名存在漏洞，攻擊者可以在維持簽名有效的情況下任意修改文件內容。

🚫 研究人員發現五種新的攻擊漏洞， Office Open XML (OOXML) 簽名驗證存在重大差異，導致嚴重的安全漏洞。

🔓 macOS上，Microsoft Office 標識文件受到簽名保護但未驗證簽名，存在安全隱患。

💻 不同版本的 Microsoft Office 和 OnlyOffice Desktop 都存在漏洞。

🔍 簽名偽造攻擊可以讓攻擊者利用其他認證來源的簽名將任意文件偽造成一個已被受信任審核的文件。

🔒 研究人員提出了預防措施，Microsoft 對該漏洞進行了認可和獎勵。

---