GitHub 最新 AI 工具可自动修复代码漏洞

GitHub最新AI工具可自动修复代码漏洞今天GitHub推出其代码扫描自动修复功能的第一个测试版，用于在编码过程中自动查找和修复安全漏洞。这项新功能将GitHubCopilot的实时功能与该公司的语义代码分析引擎CodeQL结合起来。GitHub承诺，这个新系统可以修复其发现的三分之二以上的漏洞——通常开发人员无需自己编辑任何代码。该公司还承诺，代码扫描自动修复将覆盖其支持的语言中超过90%的告警类型，目前包括JavaScript、Typescript、Java和Python。这项新功能现已可供所有GitHub高级安全计划(GHAS)客户使用。——

GitHub的最新人工智能工具可自动修复代码漏洞

GitHub的最新人工智能工具可自动修复代码漏洞GitHub承诺，这一新系统可以修复其发现的三分之二以上的漏洞--通常开发人员无需亲自编辑任何代码。该公司还承诺，代码扫描自动修复功能将覆盖其支持语言（目前包括JavaScript、Typescript、Java和Python）中90%以上的警报类型。现在，所有GitHub高级安全（GHAS）客户都可以使用这项新功能。GitHubCopilot中的代码扫描自动修复功能GitHub在今天的公告中写道："正如GitHubCopilot为开发人员减轻了繁琐的重复性工作一样，代码扫描自动修复将帮助开发团队收回以前用于修复的时间。安全团队也将受益于日常漏洞数量的减少，这样他们就可以专注于保护业务的策略，同时跟上加快的开发步伐。"在后台，这项新功能使用了GitHub的语义分析引擎CodeQL引擎，甚至在代码执行之前就能发现代码中的漏洞。该公司在收购代码分析初创公司Semmle后，于2019年底向公众提供了第一代CodeQL，CodeQL就是在该公司孵化的。多年来，该公司对CodeQL进行了一系列改进，但有一点从未改变，那就是CodeQL只免费提供给研究人员和开源开发人员使用。现在，CodeQL成为了这款新工具的核心，不过GitHub也指出，它使用了"启发式和GitHubCopilotAPI的组合"来提出修复建议。为了生成修复及其解释，GitHub使用了OpenAI的GPT-4模型。虽然GitHub确信绝大多数自动修复建议都是正确的，但该公司并不认为"一小部分修复建议反映了对代码库或漏洞的重大误解"。...PC版：https://www.cnbeta.com.tw/articles/soft/1424420.htm手机版：https://m.cnbeta.com.tw/view/1424420.htm

clash for windows爆远程代码执行高危漏洞，目前漏洞还未被修复。

clashforwindows爆远程代码执行高危漏洞，目前漏洞还未被修复。https://github.com/Fndroid/clash_for_windows_pkg/issues/3891=====clashpremium的部分功能可以指定从网上拽取的文件的路径这是该漏洞的一个很重要的一环因此不全然是cfw的问题premium应该也加以限制文件存放的目录为当前目录或其子目录

Notepad++ 漏洞允许执行任意代码

Notepad++漏洞允许执行任意代码流行的开源代码编辑器Notepad++发现了多个缓冲溢出漏洞，允许攻击者执行任意代码。Notepad++尚未发布补丁修复漏洞。GitHubSecurityLab的安全研究员JaroslavLobačevski发现，Notepad++使用的部分函数和库存在堆缓冲区写溢出和堆缓冲区读取溢出漏洞，这些漏洞的风险评分从5.5（中危）到7.8（高危）不等。他是在四月底报告了漏洞，但直到Notepad++发布最新版本v8.5.6漏洞仍然没有修复，因此根据披露政策公开了漏洞和PoC。来源，频道：@kejiqu群组：@kejiquchat

【谷歌Chrome浏览器发布针对零日漏洞的修复版本】

【谷歌Chrome浏览器发布针对零日漏洞的修复版本】6月7日消息，在6月5日的Chrome博客公告中，谷歌已确认其Chrome网络浏览器中的零日漏洞正在被积极利用，并发布了紧急安全更新作为回应。谷歌称，桌面应用程序已经更新到Mac和Linux的114.0.5735.106版本以及Windows的114.0.5735.110的版本，所有这些都将“在未来几天/几周内推出”。公告称此次更新中包含两个安全修复程序，但实际上只有一个被详细说明：CVE-2023-3079。CVE-2023-3079是V8JavaScript引擎中的类型混淆漏洞，且是谷歌Chrome2023年的第三个零日漏洞。类型混淆漏洞会带来重大风险，使攻击者能够利用内存对象处理中的弱点在目标机器上执行任意代码，强烈建议用户及时更新浏览器以减轻潜在风险。

【Neodyme：solana代币借贷合同中的漏洞已修复】

【Neodyme：solana代币借贷合同中的漏洞已修复】据Neodyme的安全研究人员称，我们最近在solana-program-library(SPL)的代币借贷合同中发现了一个严重错误。存在风险的TVL总额约为26亿美元。其中一些价值被借出，其他一些低价值的代币在经济上是不可行的，但潜在的利润很容易达到数亿。这个漏洞被修复了，dapps也及时更新，关闭了这个漏洞。我们相信最安全的代码是开源的，作为审计师，我们相信编写更好的代码的最好方法之一是了解漏洞。