Amazon Linux (ALAS) Seite 36
Schwachstellen-Reports
2282 ReportsZeige 1751 bis 1800 von 2282
-
Google Chrome Bluetooth Use-After-Free Information Disclosure
CVE-2026-13879 MittelEine Use-after-free-Schwachstelle in Bluetooth von Google Chrome vor Version 150.0.7871.47 erlaubte einem Angreifer im lokalen Netzwerksegment, über ein bösartiges Peripheriegerät potenziell sensible Informationen aus dem Prozessspeicher zu erlangen. CVSS-Basiswert: 6.5 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: Auf Google Chrome 150.0.7871.47 oder neuer aktualisieren.
CVSS: 6.5 EPSS: 0.16% Publiziert: Referenz: NVD -
Linux-Kernel – bpf: RCU-Stall in bpf_fd_array_map_clear()
CVE-2026-53083 MittelIm Linux-Kernel wurde eine Schwachstelle im BPF-Code behoben: In der Schleife von bpf_fd_array_map_clear() fehlte ein cond_resched(), was einen RCU-Stall auslösen konnte (u. a. bei PROG_ARRAY-Maps). Betroffen sind die Kernel-Pakete der aufgeführten Distributionen. Ein CVSS-Wert liegt in den Quelldaten nicht vor. Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: die vom Distributor bereitgestellten Kernel-Aktualisierungen einspielen.
EPSS: 0.16% Publiziert: Referenz: NVD -
Linux-Kernel – Sperrreihenfolge-Problem im BPF-task_vma-Iterator
CVE-2026-53084 MittelIm Linux-Kernel wurde ein Fehler im BPF-task_vma-Iterator behoben. Das Halten der Per-VMA-Sperre über den gesamten BPF-Programmkörper erzeugte ein Problem in der Sperrreihenfolge; nun wird ein VMA-Snapshot zurückgegeben. Ein CVSS-Basiswert liegt in den Quelldaten nicht vor. Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: das bereitgestellte Kernel-Update der Distribution einspielen.
EPSS: 0.16% Publiziert: Referenz: NVD -
Linux-Kernel: Umstellung von CONFIG_CFI_CLANG auf CONFIG_CFI (bpf)
CVE-2026-53099 MittelIm Linux-Kernel wurde eine BPF-bezogene Schwachstelle behoben, indem im Code von CONFIG_CFI_CLANG auf die umbenannte Option CONFIG_CFI umgestellt wurde. Ein CVSS-Basiswert liegt in den Quelldaten nicht vor. Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Eine aktive Ausnutzung (CISA KEV) oder ein Einsatz in Ransomware-Kampagnen sind nicht belegt. Empfohlene Massnahme: die vom jeweiligen Distributor bereitgestellten Kernel-Aktualisierungen einspielen.
EPSS: 0.16% Publiziert: Referenz: NVD -
Linux-Kernel: Speicherleck in mt76 (mt76_connac_mcu_alloc_sta_req)
CVE-2026-53102 MittelIm Linux-Kernel wurde eine Schwachstelle im WLAN-Treiber mt76 behoben: Die Funktion mt76_connac_mcu_alloc_sta_req() alloziert einen skb, der anschliessend nicht korrekt freigegeben wurde, was zu einem Speicherleck führte. CVSS-Basiswert liegt nicht in den Quelldaten vor. Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: die von den Distributionen bereitgestellten Kernel-Aktualisierungen einspielen.
EPSS: 0.16% Publiziert: Referenz: NVD -
Linux-Kernel – Speicherleck in hci_le_big_terminate() (Bluetooth)
CVE-2026-53364 MittelIm Linux-Kernel wurde ein Speicherleck in hci_le_big_terminate() im Bluetooth-hci_conn-Code behoben. Die Funktion allokierte iso_list_data über kzalloc_obj, gab den Speicher jedoch nicht in allen Fällen wieder frei. Ein CVSS-Basiswert liegt in den Quelldaten nicht vor. Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: das bereitgestellte Kernel-Update der Distribution einspielen.
EPSS: 0.15% Publiziert: Referenz: NVD -
Linux-Kernel: Zerocopy-Abschluss bei Multi-skb-Sends (vsock/virtio)
CVE-2026-53365 MittelIm Linux-Kernel wurde eine Schwachstelle im vsock/virtio-Subsystem behoben: Wenn eine grosse Nachricht in mehrere skbs fragmentiert wird, wurde der Zerocopy-Abschluss (uarg) fehlerhaft behandelt. Der Fix korrigiert den Zerocopy-Abschluss für Multi-skb-Sends. CVSS-Basiswert liegt nicht in den Quelldaten vor. Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: die von den Distributionen bereitgestellten Kernel-Aktualisierungen einspielen.
EPSS: 0.15% Publiziert: Referenz: NVD -
SSSD: Use-after-free im PAM-Responder bei YubiKey-Authentifizierung
CVE-2026-12610 MittelIn SSSD wurde ein Fehler gefunden: Bei der Authentifizierung mit einem YubiKey kann der SSSD-PAM-Responder aufgrund einer Use-after-free-Schwachstelle abstürzen, bei der ein Speicherzeiger falsch behandelt wird. Ein lokaler Angreifer kann dies auslösen. CVSS-Basiswert: 6.4 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.
CVSS: 6.4 EPSS: 0.15% Publiziert: Referenz: NVD -
Linux-Kernel: URBs nicht im Interrupt-Kontext beenden (wifi/libertas)
CVE-2026-53107 MittelIm Linux-Kernel wurde eine Schwachstelle im WLAN-Treiber libertas behoben. Die Serialisierung des TX-Pfads wurde über usb_kill_urb() erzwungen, was im Interrupt-Kontext zu Problemen führen konnte; die Behebung vermeidet das Beenden von URBs in diesem Kontext. Ein CVSS-Basiswert liegt in den Quelldaten nicht vor. Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Eine aktive Ausnutzung (CISA KEV) oder ein Einsatz in Ransomware-Kampagnen sind nicht belegt. Empfohlene Massnahme: die vom jeweiligen Distributor bereitgestellten Kernel-Aktualisierungen einspielen.
EPSS: 0.15% Publiziert: Referenz: NVD -
Linux-Kernel – Umstellung von vdpa auf die generische driver_override-Infrastruktur
CVE-2026-53118 MittelIm Linux-Kernel wurde ein Fehler im vdpa-Subsystem behoben. Wird ein Treiber über __driver_attach() geprüft, ruft der Bus seinen match()-Callback auf; vdpa wurde dazu auf die generische driver_override-Infrastruktur umgestellt. Ein CVSS-Basiswert liegt in den Quelldaten nicht vor. Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: das bereitgestellte Kernel-Update der Distribution einspielen.
EPSS: 0.15% Publiziert: Referenz: NVD -
Linux-Kernel (amd-pstate): Speicherleck in amd_pstate_epp_cpu_init()
CVE-2026-53121 MittelIm amd-pstate-Treiber des Linux-Kernels wurde ein Speicherleck in amd_pstate_epp_cpu_init() behoben, das auftrat, wenn das Setzen des EPP fehlschlug und die Funktion vorzeitig zurückkehrte. Ein CVSS-Wert liegt in den Quelldaten nicht vor. Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Eine aktive Ausnutzung über CISA KEV oder ein Ransomware-Bezug ist nicht bekannt. Empfohlene Massnahme: die vom jeweiligen Distributor bereitgestellten Kernel-Updates einspielen.
EPSS: 0.15% Publiziert: Referenz: NVD -
Linux-Kernel: Behandlung von Non-Swap-Einträgen in mm/mincore
CVE-2026-53333 MittelIm Linux-Kernel wurde eine Schwachstelle im Speicherverwaltungs-Subsystem (mm/mincore) behoben: mincore_swap() verarbeitet auch Migrations- und hwpoison-Einträge, wobei Non-Swap-Einträge nun vor dem !CONFIG_SWAP-Schutz korrekt behandelt werden. CVSS-Basiswert liegt nicht in den Quelldaten vor. Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: die von den Distributionen bereitgestellten Kernel-Aktualisierungen einspielen.
EPSS: 0.15% Publiziert: Referenz: NVD -
Linux-Kernel: Fehlende NULL-Prüfung für of_reserved_mem_lookup() (net/airoha)
CVE-2026-53338 MittelIm Linux-Kernel wurde eine Schwachstelle im airoha-Netzwerktreiber behoben. In airoha_qdma_init_hfwd_queues() fehlte eine NULL-Prüfung für den Rückgabewert von of_reserved_mem_lookup(), der NULL sein kann. Ein CVSS-Basiswert liegt in den Quelldaten nicht vor. Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Eine aktive Ausnutzung (CISA KEV) oder ein Einsatz in Ransomware-Kampagnen sind nicht belegt. Empfohlene Massnahme: die vom jeweiligen Distributor bereitgestellten Kernel-Aktualisierungen einspielen.
EPSS: 0.15% Publiziert: Referenz: NVD -
Linux-Kernel – inkonsistenter Takt- und Pinctrl-Zustand im i2c-imx-Treiber
CVE-2026-53340 MittelIm Linux-Kernel wurde eine Inkonsistenz zwischen Takt- und Pinctrl-Zustand im Runtime-PM des i2c-imx-Treibers behoben. In i2c_imx_runtime_suspend() wurde der Takt deaktiviert, bevor der Pinctrl-Zustand umgeschaltet wurde. Ein CVSS-Basiswert liegt in den Quelldaten nicht vor. Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: das bereitgestellte Kernel-Update der Distribution einspielen.
EPSS: 0.15% Publiziert: Referenz: NVD -
Linux-Kernel: arm64 mm pagetable dtor bei Hot-Removal
CVE-2026-53342 MittelIm Linux-Kernel wurde für arm64 behoben, dass beim Freigeben von per Hot-Removal entfernten Seitentabellen der pagetable-Destruktor (dtor) aufgerufen wird. Ein CVSS-Basiswert liegt in den Quelldaten nicht vor. Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Betroffen sind die Kernel-Pakete von Amazon Linux (ALAS), Oracle Linux (ELSA) und Rocky Linux. Empfohlene Massnahme: die von der jeweiligen Distribution bereitgestellten Kernel-Updates einspielen.
EPSS: 0.15% Publiziert: Referenz: NVD -
Google Chrome: Domain-Spoofing in WebAppInstalls
CVE-2026-13993 MittelEine fehlerhafte Sicherheits-UI in der WebAppInstalls-Komponente von Google Chrome vor Version 150.0.7871.47 ermöglicht einem entfernten Angreifer, der einen Benutzer zu bestimmten UI-Gesten überredet hat, Domain-Spoofing über eine präparierte Seite durchzuführen. CVSS-Basiswert: 4.2 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: Auf Google Chrome 150.0.7871.47 oder neuer aktualisieren.
CVSS: 4.2 EPSS: 0.15% Publiziert: Referenz: NVD -
CVE-2026-14026 – UI-Spoofing in SplitView (Google Chrome)
CVE-2026-14026 MittelEine fehlerhafte Sicherheits-Benutzeroberfläche in der SplitView-Komponente von Google Chrome vor Version 150.0.7871.47 erlaubte einem entfernten Angreifer, der einen Nutzer zu bestimmten UI-Gesten verleiten konnte, über eine präparierte HTML-Seite ein UI-Spoofing. CVSS-Basiswert: 4.2 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: Chrome auf Version 150.0.7871.47 oder neuer aktualisieren.
CVSS: 4.2 EPSS: 0.15% Publiziert: Referenz: NVD -
Google Chrome unter Linux: UI-Spoofing in SplitView
CVE-2026-14030 MittelIn Google Chrome unter Linux vor Version 150.0.7871.47 erlaubt eine unangemessene Implementierung in SplitView einem entfernten Angreifer, der einen Nutzer zu bestimmten UI-Gesten verleitet, den angezeigten Inhalt zu fälschen (UI-Spoofing). CVSS-Basiswert: 4.2 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: Auf Chrome 150.0.7871.47 oder neuer aktualisieren.
CVSS: 4.2 EPSS: 0.15% Publiziert: Referenz: NVD -
Linux-Kernel: Fehlerbehandlung und Doppelallokation in pci-ep-msi
CVE-2026-53067 MittelIm Linux-Kernel wurde eine Schwachstelle im PCI-Endpoint-Subsystem (pci-ep-msi) behoben: Die Funktion pci_epf_alloc_doorbell() speicherte die allozierte Doorbell-Nachricht fehlerhaft, wodurch die Fehler-Rücksetzung unvollständig war und eine Doppelallokation auftreten konnte. CVSS-Basiswert liegt nicht in den Quelldaten vor. Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: die von den Distributionen bereitgestellten Kernel-Aktualisierungen einspielen.
EPSS: 0.15% Publiziert: Referenz: NVD -
Linux-Kernel: Unsicherer perf_allow_kernel()-Aufruf im AMD-IBS-NMI-Handler
CVE-2026-53114 MittelIm Linux-Kernel wurde eine Schwachstelle behoben: Der Aufruf von perf_allow_kernel() aus dem NMI-Kontext des AMD-IBS-Handlers ist unsicher und wird vermieden. Ein CVSS-Basiswert liegt in den Quelldaten nicht vor. Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: die Kernel-Aktualisierung der jeweiligen Distribution einspielen.
EPSS: 0.15% Publiziert: Referenz: NVD -
Google Chrome: Umgehung der Site-Isolation über File System Access
CVE-2026-12460 MittelEine unzureichende Richtliniendurchsetzung in der Komponente File System Access von Google Chrome vor Version 149.0.7827.155 ermöglicht es einem entfernten Angreifer, der den Renderer-Prozess kompromittiert hat, über eine präparierte HTML-Seite die Site-Isolation zu umgehen. CVSS-Basiswert: 4.2 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: Aktualisierung auf Google Chrome 149.0.7827.155 oder neuer.
CVSS: 4.2 EPSS: 0.15% Publiziert: Referenz: NVD -
Linux-Kernel – powerpc/64s: Unmap-Race mit PMD-Migrationseinträgen
CVE-2026-53108 MittelIm Linux-Kernel wurde eine Schwachstelle im powerpc/64s-Code behoben: Beim Unmap konnte ein Race mit Migrations-Swap-Einträgen bzw. device-private (PMD-Migrations-)Einträgen auftreten. Betroffen sind die Kernel-Pakete der aufgeführten Distributionen. Ein CVSS-Wert liegt in den Quelldaten nicht vor. Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: die vom Distributor bereitgestellten Kernel-Aktualisierungen einspielen.
EPSS: 0.15% Publiziert: Referenz: NVD -
CVE-2026-13024 – Umgehung der Site-Isolation in Navigation (Google Chrome)
CVE-2026-13024 MittelEine unzureichende Validierung nicht vertrauenswürdiger Eingaben in der Navigations-Komponente von Google Chrome vor Version 149.0.7827.197 erlaubte einem entfernten Angreifer, der den Renderer-Prozess kompromittiert hatte, über eine präparierte HTML-Seite die Umgehung der Site-Isolation. CVSS-Basiswert: 4.2 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: Chrome auf Version 149.0.7827.197 oder neuer aktualisieren.
CVSS: 4.2 EPSS: 0.15% Publiziert: Referenz: NVD -
Linux-Kernel: Uninitialisierte Felder vor regmap-Init im pinctrl-Treiber mcp23s08
CVE-2026-53344 MittelIm Linux-Kernel wurde eine Schwachstelle im pinctrl-Treiber mcp23s08 behoben: mcp->dev und mcp->addr werden vor der regmap-Initialisierung nicht gesetzt. Ein CVSS-Basiswert liegt in den Quelldaten nicht vor. Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: die Kernel-Aktualisierung der jeweiligen Distribution einspielen.
EPSS: 0.14% Publiziert: Referenz: NVD -
Linux-Kernel – NULL-Pointer-Dereferenzierung in sdca_dev_unregister_functions (ASoC SDCA)
CVE-2026-53348 MittelIm Linux-Kernel wurde eine NULL-Pointer-Dereferenzierung in sdca_dev_unregister_functions() im ASoC-SDCA-Code behoben. Die Funktion iteriert über alle SDCA-Funktionen, wobei ein ungültiger Zugriff auftreten konnte. Ein CVSS-Basiswert liegt in den Quelldaten nicht vor. Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: das bereitgestellte Kernel-Update der Distribution einspielen.
EPSS: 0.14% Publiziert: Referenz: NVD -
Linux-Kernel (riscv/ptrace): USER_REGSET_NOTE_TYPE für REGSET_CFI
CVE-2026-53351 MittelIm riscv-ptrace-Code des Linux-Kernels wird nun USER_REGSET_NOTE_TYPE für REGSET_CFI verwendet. Dies behebt eine Warnung, die beim Erzeugen eines Core-Dumps auftrat. Ein CVSS-Wert liegt in den Quelldaten nicht vor. Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Eine aktive Ausnutzung über CISA KEV oder ein Ransomware-Bezug ist nicht bekannt. Empfohlene Massnahme: die vom jeweiligen Distributor bereitgestellten Kernel-Updates einspielen.
EPSS: 0.14% Publiziert: Referenz: NVD -
Linux-Kernel: Speicherleck in net_sched bei verzögerten qdisc-Drops
CVE-2026-53079 MittelIm Linux-Kernel wurde eine Schwachstelle im net_sched-Subsystem behoben: Beim Aufräumen der Deferred-Liste über qdisc_run_end() kommt es zu einem skb-Speicherleck. Ein CVSS-Basiswert liegt in den Quelldaten nicht vor. Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: die Kernel-Aktualisierung der jeweiligen Distribution einspielen.
EPSS: 0.14% Publiziert: Referenz: NVD -
Linux-Kernel: Use-after-free beim Auslesen von BPF-Offload-Infos
CVE-2026-53089 MittelIm Linux-Kernel wurde eine Use-after-free-Schwachstelle im BPF-Subsystem behoben: Beim Abfragen der Informationen zu einer ausgelagerten (offloaded) BPF-Map oder einem BPF-Programm konnte auf bereits freigegebenen Speicher zugegriffen werden. CVSS-Basiswert liegt nicht in den Quelldaten vor. Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: die von den Distributionen bereitgestellten Kernel-Aktualisierungen einspielen.
EPSS: 0.14% Publiziert: Referenz: NVD -
Linux-Kernel – Deadlock im BPF Local Storage (NMI)
CVE-2026-53106 MittelIm Linux-Kernel wurde eine Schwachstelle im BPF Local Storage behoben: Das Löschen von Local Storage in einem NMI-Kontext konnte zu einem Deadlock beim verzögerten Freigeben führen; entsprechende Löschvorgänge werden im NMI-Kontext nun unterbunden. Ein CVSS-Basiswert liegt in den Quelldaten nicht vor. Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Der Fix wird über die Kernel-Pakete der betroffenen Distributionen verteilt; das bereitgestellte Update sollte eingespielt werden.
EPSS: 0.14% Publiziert: Referenz: NVD -
Linux-Kernel: Nutzung der generischen driver_override-Infrastruktur (s390/ap)
CVE-2026-53116 MittelIm Linux-Kernel wurde eine Schwachstelle im s390-AP-Bus behoben. Beim Aktualisieren der AP-Masken über apmask_store() bzw. aqmask_store() trat ein Fehler auf; die Behebung stellt auf die generische driver_override-Infrastruktur um. Ein CVSS-Basiswert liegt in den Quelldaten nicht vor. Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Eine aktive Ausnutzung (CISA KEV) oder ein Einsatz in Ransomware-Kampagnen sind nicht belegt. Empfohlene Massnahme: die vom jeweiligen Distributor bereitgestellten Kernel-Aktualisierungen einspielen.
EPSS: 0.14% Publiziert: Referenz: NVD -
Linux-Kernel: Zurücksetzen des per-IO-Canceled-Flags bei jedem Fetch (ublk)
CVE-2026-53124 MittelIm Linux-Kernel wurde eine Schwachstelle im ublk-Treiber behoben. Startete ein ublk-Server die Wiederherstellung von Geräten, beendete sich jedoch vor dem Absetzen von Fetch-Kommandos, konnte ein fehlerhaftes Verhalten auftreten; die Behebung setzt das per-IO-Canceled-Flag bei jedem Fetch zurück. Ein CVSS-Basiswert liegt in den Quelldaten nicht vor. Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Eine aktive Ausnutzung (CISA KEV) oder ein Einsatz in Ransomware-Kampagnen sind nicht belegt. Empfohlene Massnahme: die vom jeweiligen Distributor bereitgestellten Kernel-Aktualisierungen einspielen.
EPSS: 0.14% Publiziert: Referenz: NVD -
Linux-Kernel: Speicherleck bei fehlgeschlagener Zonen-Revalidierung
CVE-2026-53127 MittelIm Linux-Kernel wurde eine Schwachstelle im Block-Subsystem behoben: Wenn blk_revalidate_disk_zones() nach disk_revalidate_zones() fehlschlug, kam es auf den Fehlerpfaden zu einem Speicherleck von zones_cond. Der Fix gibt den Speicher korrekt frei. CVSS-Basiswert liegt nicht in den Quelldaten vor. Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: die von den Distributionen bereitgestellten Kernel-Aktualisierungen einspielen.
EPSS: 0.14% Publiziert: Referenz: NVD -
Umgehung der Same-Origin-Policy über DeviceBoundSessionCredentials in Google Chrome
CVE-2026-13021 MittelEine fehlerhafte Implementierung in der DeviceBoundSessionCredentials-Komponente von Google Chrome erlaubt einem entfernten Angreifer über eine präparierte HTML-Seite die Umgehung der Same-Origin-Policy. Betroffen sind Versionen vor Chrome 149.0.7827.197. CVSS-Basiswert: 4.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: auf eine fehlerbereinigte Chrome-Version aktualisieren.
CVSS: 4.3 EPSS: 0.14% Publiziert: Referenz: NVD -
Umgehung der Site-Isolation über Passwords in Google Chrome
CVE-2026-13034 MittelEine fehlerhafte Implementierung in der Passwords-Komponente von Google Chrome erlaubt einem entfernten Angreifer, der bereits den Renderer-Prozess kompromittiert hat, die Site-Isolation über eine präparierte HTML-Seite zu umgehen. Betroffen sind Versionen vor Chrome 149.0.7827.197. CVSS-Basiswert: 4.7 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: auf eine fehlerbereinigte Chrome-Version aktualisieren.
CVSS: 4.7 EPSS: 0.14% Publiziert: Referenz: NVD -
Google Chrome – Out-of-bounds-Read in Chromoting
CVE-2026-12444 MittelEin Out-of-bounds-Read in Chromoting in Google Chrome unter Windows vor Version 149.0.7827.155 erlaubte einem lokalen Angreifer, über eine bösartige Datei potenziell sensible Informationen aus dem Prozessspeicher zu erlangen. CVSS-Basiswert: 5.5 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: auf Chrome 149.0.7827.155 oder neuer aktualisieren.
CVSS: 5.5 EPSS: 0.14% Publiziert: Referenz: NVD -
Google Chrome: Cross-Origin-Datenabfluss durch unzureichende Richtliniendurchsetzung (Privacy)
CVE-2026-14092 MittelEine unzureichende Richtliniendurchsetzung in der Privacy-Komponente von Google Chrome vor Version 150.0.7871.47 erlaubt einem Angreifer in privilegierter Netzwerkposition, über manipulierten Netzwerkverkehr Cross-Origin-Daten auszulesen. CVSS-Basiswert: 4.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: Chrome auf Version 150.0.7871.47 oder neuer aktualisieren.
CVSS: 4.3 EPSS: 0.14% Publiziert: Referenz: NVD -
Google Chrome: Out-of-bounds-Read in Chromecast (< 150.0.7871.47)
CVE-2026-14063 MittelEin Out-of-bounds-Read in der Chromecast-Komponente von Google Chrome vor 150.0.7871.47 erlaubte einem lokalen Angreifer über bösartigen Netzwerkverkehr, potenziell sensible Informationen aus dem Prozessspeicher zu erlangen. CVSS-Basiswert: 5.7 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: Chrome aktualisieren.
CVSS: 5.7 EPSS: 0.14% Publiziert: Referenz: NVD -
Linux-Kernel: Überlauf bei der AD-Länge in crypto/af_alg
CVE-2026-52972 MittelIm Linux-Kernel wurde eine Schwachstelle im Subsystem crypto/af_alg behoben: Die AD-Länge (Associated Data) bei AEAD wird nun auf 0x80000000 begrenzt, um arithmetische Überläufe bei der Prüfung der TX-Puffergrösse zu verhindern. CVSS-Basiswert: 5.5 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: die vom jeweiligen Distributor bereitgestellten Kernel-Updates einspielen.
CVSS: 5.5 EPSS: 0.14% Publiziert: Referenz: NVD -
Google Chrome: Cross-Origin-Datenleck in Autofill
CVE-2026-13022 MittelIn Google Chrome vor Version 149.0.7827.197 erlaubt eine unangemessene Implementierung in der Autofill-Komponente einem entfernten Angreifer, der den Renderer-Prozess kompromittiert hat, über eine präparierte HTML-Seite Cross-Origin-Daten abzugreifen. CVSS-Basiswert: 6.5 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: auf Google Chrome 149.0.7827.197 (oder neuer) aktualisieren.
CVSS: 6.5 EPSS: 0.14% Publiziert: Referenz: NVD -
p11-kit: Unbegrenzte gegenseitige Rekursion im RPC-Attribut-Parsing
CVE-2026-13757 MittelIn p11-kit wurde ein Fehler gefunden: Die Funktionen p11_rpc_message_get_attribute() und p11_rpc_message_get_attribute_array_value() zum Parsen von RPC-Nachrichten-Attributen bilden eine gegenseitig rekursive Aufrufkette ohne Rekursionsbegrenzung. CVSS-Basiswert: 6.2 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 6.2 EPSS: 0.14% Publiziert: Referenz: NVD -
Google Chrome: Umgehung der Same-Origin-Policy über Extensions
CVE-2026-12456 MittelEine unangemessene Implementierung in der Extensions-Komponente von Google Chrome vor Version 149.0.7827.155 ermöglicht einem Angreifer, der einen Benutzer zur Installation einer bösartigen Erweiterung überredet hat, die Same-Origin-Policy über eine präparierte Erweiterung zu umgehen. CVSS-Basiswert: 4.2 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: Auf Google Chrome 149.0.7827.155 oder neuer aktualisieren.
CVSS: 4.2 EPSS: 0.14% Publiziert: Referenz: NVD -
CVE-2026-14144 – UI-Spoofing in Views (Google Chrome)
CVE-2026-14144 MittelEine fehlerhafte Sicherheits-Benutzeroberfläche in der Views-Komponente von Google Chrome vor Version 150.0.7871.47 erlaubte einem entfernten Angreifer, der einen Nutzer zu bestimmten UI-Gesten verleiten konnte, über eine präparierte HTML-Seite ein UI-Spoofing. CVSS-Basiswert: 4.2 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: Chrome auf Version 150.0.7871.47 oder neuer aktualisieren.
CVSS: 4.2 EPSS: 0.14% Publiziert: Referenz: NVD -
Linux-Kernel: mögliches kfree_skb eines ERR_PTR (net/openvswitch)
CVE-2026-53227 MittelIm Linux-Kernel wurde eine Schwachstelle in net/openvswitch behoben: Die Allokation des reply-skb konnte fehlschlagen, sodass ein ERR_PTR an kfree_skb übergeben wurde. Die Lücke ist lokal ausnutzbar und wirkt sich auf die Verfügbarkeit aus. CVSS-Basiswert: 5.5 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: aktualisierten Kernel der Distribution einspielen.
CVSS: 5.5 EPSS: 0.14% Publiziert: Referenz: NVD -
Linux-Kernel – Bluetooth: Speicherleck im Fehlerpfad von hci_alloc_dev()
CVE-2026-53252 MittelIm Linux-Kernel wurde eine Schwachstelle in Bluetooth behoben, bei der frühe Fehler in der HCI-UART-Konfiguration ein Speicherleck (SRCU-percpu-Speicher) im Fehlerpfad von hci_alloc_dev() verursachten. CVSS-Basiswert: 5.5 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: Den aktualisierten Kernel der eingesetzten Distribution einspielen.
CVSS: 5.5 EPSS: 0.14% Publiziert: Referenz: NVD -
Google Chrome: Umgehung der Site-Isolation über die Extensions-Komponente
CVE-2026-12457 MittelEine unangemessene Implementierung in der Extensions-Komponente von Google Chrome vor Version 149.0.7827.155 erlaubt einem entfernten Angreifer, der bereits den Renderer-Prozess kompromittiert hat, die Site-Isolation zu umgehen. CVSS-Basiswert: 4.2 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: Chrome auf Version 149.0.7827.155 oder neuer aktualisieren.
CVSS: 4.2 EPSS: 0.14% Publiziert: Referenz: NVD -
spice-vdagent – Path Traversal ermöglicht Schreibzugriff auf das Gastsystem
CVE-2026-57966 MittelIn spice-vdagent wurde eine Path-Traversal-Schwachstelle gefunden. Sie erlaubt einem bösartigen oder kompromittierten SPICE-Host, beliebige Dateien an beliebige Orte im Gastbetriebssystem zu schreiben. CVSS-Basiswert: 4.4 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 4.4 EPSS: 0.14% Publiziert: Referenz: NVD -
CVE-2026-12463 – Universal XSS in Views (Google Chrome/Linux)
CVE-2026-12463 MittelEine unangemessene Implementierung in der Views-Komponente von Google Chrome auf Linux vor Version 149.0.7827.155 erlaubt einem entfernten Angreifer, der bereits den Renderer-Prozess kompromittiert hat, beliebige Skripte oder HTML einzuschleusen (Universal XSS). CVSS-Basiswert: 4.7 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: auf die gepatchte Chrome-Version aktualisieren.
CVSS: 4.7 EPSS: 0.13% Publiziert: Referenz: NVD -
Google Chrome: UI-Spoofing über DevTools
CVE-2026-14154 MittelEine fehlerhafte Implementierung in den DevTools von Google Chrome vor Version 150.0.7871.47 erlaubte einem Angreifer, der einen Nutzer zur Installation einer bösartigen Erweiterung verleiten konnte, UI-Spoofing über eine präparierte Chrome-Erweiterung. Als betroffen ausgewiesen sind Google ChromeOS/Chrome, Apple (macOS/iOS), Amazon Linux (ALAS), Oracle Linux (ELSA), Rocky Linux und Microsoft Windows. CVSS-Basiswert: 4.8 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: auf eine korrigierte Chrome-Version aktualisieren.
CVSS: 4.8 EPSS: 0.13% Publiziert: Referenz: NVD -
GnuTLS – Fehlerhafte Gross-/Kleinschreibung bei nameConstraints-Validierung
CVE-2026-3833 MittelIn GnuTLS wurde eine Schwachstelle identifiziert, die auf einer fehlerhaften Gross-/Kleinschreibungsprüfung bei der Validierung von nameConstraints-Labels beruht. Betroffen sind insbesondere DNS-Namen (dNSName) und E-Mail-Adressen (rfc822Name). CVSS-Basiswert: 6.5 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 6.5 EPSS: 0.13% Publiziert: Referenz: NVD -
p11-kit: Remotely auslösbare Schwachstelle über C_DeriveKey mit IBM-Mechanismen
CVE-2026-2100 MittelIn p11-kit wurde eine Schwachstelle entdeckt, die es einem entfernten Angreifer ermöglicht, die Funktion C_DeriveKey auf einem Remote-Token mit speziellen IBM-Kyber- oder IBM-BTC-Ableitungsmechanismen aufzurufen und so die Schwachstelle auszunutzen. CVSS-Basiswert: 5.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 5.3 EPSS: 0.13% Publiziert: Referenz: NVD
Diesem Produkt-Feed folgen
Eigener RSS-Feed nur für Amazon Linux (ALAS), kostenlos und ohne Anmeldung. Zustellung per E-Mail, Webhook, REST oder TAXII richten wir auf Anfrage ein.
RSS-Feed öffnen Zustellung anfragenWie folge ich dem Feed?
- 1 RSS-Feed-Link kopieren oder direkt im RSS-Reader öffnen.
- 2 Priorisierte Reports (KEV · EPSS · CVSS) landen automatisch in Ihrem Reader.
- 3 Zustellung per E-Mail, Webhook, REST oder TAXII auf Anfrage einrichten lassen.