Log for Ubuntu 台灣社群
Notepad++ 遭流量劫持,更新程式被植入惡意程式
Notepad++ 發布了安全警告,指出其遭遇流量劫持,部分地區的更新程式被植入惡意程式。調查發現,Notepad++ 的更新程式 WinGUp 所使用的流量被劫持到惡意伺服器,下載了惡意可執行檔。更新程式會透過版本檢查功能向 URL「https://notepad-plus-plus.org/update/getDownloadUrl.php」發出查詢,並解析回傳的 XML 檔。更新程式會使用 XML 檔中列出的 Download-URL,將檔案存到 %TEMP% 資料夾後直接執行。任何能攔截並竄改這段流量的攻擊者,都能修改 Download-URL。
在 Notepad++ v8.8.7 之前,其更新簽章使用自我簽署憑證,讓攻擊者有機會打造被竄改的更新並推送給受害者。從 v8.8.7 開始,Notepad++ 改用由 GlobalSign 核發的合法憑證進行簽署。
https://notepad-plus-plus.org/news/v889-released/
https://notepad-plus-plus.org/update/getDownloadUrl.php」發出查詢,並解析回傳的
Notepad++ 發布了安全警告,指出其遭遇流量劫持,部分地區的更新程式被植入惡意程式。調查發現,Notepad++ 的更新程式 WinGUp 所使用的流量被劫持到惡意伺服器,下載了惡意可執行檔。更新程式會透過版本檢查功能向 URL「https://notepad-plus-plus.org/update/getDownloadUrl.php」發出查詢,並解析回傳的 XML 檔。更新程式會使用 XML 檔中列出的 Download-URL,將檔案存到 %TEMP% 資料夾後直接執行。任何能攔截並竄改這段流量的攻擊者,都能修改 Download-URL。
在 Notepad++ v8.8.7 之前,其更新簽章使用自我簽署憑證,讓攻擊者有機會打造被竄改的更新並推送給受害者。從 v8.8.7 開始,Notepad++ 改用由 GlobalSign 核發的合法憑證進行簽署。
https://notepad-plus-plus.org/news/v889-released/
https://notepad-plus-plus.org/update/getDownloadUrl.php」發出查詢,並解析回傳的
Valve:HDMI Forum 持續封鎖 Linux 上的 HDMI 2.1 支援 (★ 143 分)
Valve 的新款 Steam Machine 雖然在硬體上具備 HDMI 2.1 能力,但因 HDMI Forum 拒絕開放 2.1 版本的技術規格,導致 Valve 與 AMD 無法在 GNU/Linux 上提供開放原始碼驅動程式,因此目前裝置只能以 HDMI 2.0 模式輸出。這也讓 4K 畫質若要超過每秒 60 張影格,必須依賴色度子採樣等有損方式。Valve 表示,他們已在 Windows 驗證裝置確實能支援 HDMI 2.1,只是軟體端因規範封閉而受限。同樣的問題其實早在 2024 年 AMD 就曾提出,當時他們已提交一套可行的開放原始碼 HDMI 2.1 驅動,但被 HDMI Forum 以規範要求為由婉拒,等於直接阻斷 Linux 平台對該標準的完整支援。
缺乏 HDMI 2.1,也讓 Steam Machine 的 4K 高更新率與不壓縮輸出受限。HDMI 2.1 的技術特性包含更高頻寬與標準化的可變更新率 VRR,而在 Valve 無法使用完整規格的情況下,只能以壓縮方式達成 4K 120Hz,且 VRR 只能依賴 AMD Freesync,需要相容顯示器才能正常使用。部分玩家會改用 DisplayPort 1.4 轉 HDMI 2.1 的主動式轉接器,雖能提高更新率,但大多不提供 VRR,同時市場上更高品質的品牌款式也愈來愈難買到。
在 Hacker News 上,許多討論把矛頭指向 HDMI Forum 的封閉生態與授權模式。有工程師指出,HDMI 2.1 的訓練程序與高頻寬傳輸屬於高度複雜的實作細節,被 HDMI Forum 當成商業機密,因此不願釋出給開放原始碼社群。一些人認為這背後本質上是授權費、專利池與 DRM(數位版權管理)制度共同形成的封閉壟斷;有人更提到,Nvidia 能在 Linux 上提供 HDMI 2.1,正是因為將關鍵邏輯封裝到封閉韌體中,避開公開原始碼限制,但 AMD 長期致力於開放驅動,因而受到 HDMI 規範更大牽制。
討論中也有人推動以 DisplayPort 作為長期替代方案,指出它技術開放、授權成本低,而且在電腦顯示器市場普及度更高。然而其他人反映,電視廠商長期排斥 DisplayPort,使其難以進入客廳領域;部分原因被歸咎於 HDMI 組織對電視 SoC 廠施壓,或是 DRM 需求強化了 HDMI 在消費市場的壟斷。更實務的玩家則表示,HDMI 的問題逼得他們想要一台完全沒有「智慧」功能、沒有廣告、不綁定大型企業服務的「純螢幕電視」,甚至有人呼籲 Valve 直接做一台 Steam TV。
整體而言,這次爭議反映出 HDMI 標準的封閉性正直接阻擋 GNU/Linux 與開放軟體生態的支援;Valve 與 AMD 的實作被擋下,不僅牽動 Steam Machine 的體驗,也讓許多玩家再次質疑當前影音標準體系由封閉組織掌控的合理性。若 HDMI Forum 持續不鬆動,社群普遍認為未來真正的突破,可能得靠 DisplayPort 更廣泛進入家用市場、或靠新的硬體設計直接繞過 HDMI 的授權限制。
👥 81 則討論、評論 💬
https://news.ycombinator.com/item?id=46220488
Valve 的新款 Steam Machine 雖然在硬體上具備 HDMI 2.1 能力,但因 HDMI Forum 拒絕開放 2.1 版本的技術規格,導致 Valve 與 AMD 無法在 GNU/Linux 上提供開放原始碼驅動程式,因此目前裝置只能以 HDMI 2.0 模式輸出。這也讓 4K 畫質若要超過每秒 60 張影格,必須依賴色度子採樣等有損方式。Valve 表示,他們已在 Windows 驗證裝置確實能支援 HDMI 2.1,只是軟體端因規範封閉而受限。同樣的問題其實早在 2024 年 AMD 就曾提出,當時他們已提交一套可行的開放原始碼 HDMI 2.1 驅動,但被 HDMI Forum 以規範要求為由婉拒,等於直接阻斷 Linux 平台對該標準的完整支援。
缺乏 HDMI 2.1,也讓 Steam Machine 的 4K 高更新率與不壓縮輸出受限。HDMI 2.1 的技術特性包含更高頻寬與標準化的可變更新率 VRR,而在 Valve 無法使用完整規格的情況下,只能以壓縮方式達成 4K 120Hz,且 VRR 只能依賴 AMD Freesync,需要相容顯示器才能正常使用。部分玩家會改用 DisplayPort 1.4 轉 HDMI 2.1 的主動式轉接器,雖能提高更新率,但大多不提供 VRR,同時市場上更高品質的品牌款式也愈來愈難買到。
在 Hacker News 上,許多討論把矛頭指向 HDMI Forum 的封閉生態與授權模式。有工程師指出,HDMI 2.1 的訓練程序與高頻寬傳輸屬於高度複雜的實作細節,被 HDMI Forum 當成商業機密,因此不願釋出給開放原始碼社群。一些人認為這背後本質上是授權費、專利池與 DRM(數位版權管理)制度共同形成的封閉壟斷;有人更提到,Nvidia 能在 Linux 上提供 HDMI 2.1,正是因為將關鍵邏輯封裝到封閉韌體中,避開公開原始碼限制,但 AMD 長期致力於開放驅動,因而受到 HDMI 規範更大牽制。
討論中也有人推動以 DisplayPort 作為長期替代方案,指出它技術開放、授權成本低,而且在電腦顯示器市場普及度更高。然而其他人反映,電視廠商長期排斥 DisplayPort,使其難以進入客廳領域;部分原因被歸咎於 HDMI 組織對電視 SoC 廠施壓,或是 DRM 需求強化了 HDMI 在消費市場的壟斷。更實務的玩家則表示,HDMI 的問題逼得他們想要一台完全沒有「智慧」功能、沒有廣告、不綁定大型企業服務的「純螢幕電視」,甚至有人呼籲 Valve 直接做一台 Steam TV。
整體而言,這次爭議反映出 HDMI 標準的封閉性正直接阻擋 GNU/Linux 與開放軟體生態的支援;Valve 與 AMD 的實作被擋下,不僅牽動 Steam Machine 的體驗,也讓許多玩家再次質疑當前影音標準體系由封閉組織掌控的合理性。若 HDMI Forum 持續不鬆動,社群普遍認為未來真正的突破,可能得靠 DisplayPort 更廣泛進入家用市場、或靠新的硬體設計直接繞過 HDMI 的授權限制。
👥 81 則討論、評論 💬
https://news.ycombinator.com/item?id=46220488