Am Mai-Patch-Tuesday 2026 haben Intel und AMD gemeinsam mehr als zwei Dutzend Sicherheitshinweise veröffentlicht und darin 70 Schwachstellen quer durch ihre Produktportfolios behoben.

Intel veröffentlichte 13 Advisories zu insgesamt 24 Sicherheitsmängeln, darunter eine kritische und acht als hochriskant eingestufte Lücken. Der kritische Fehler wird als CVE-2026-20794 geführt und erreicht einen CVSS-Wert von 9,3. Es handelt sich um einen Pufferüberlauf im Data Center Graphics Driver für VMware ESXi, der sich für eine Rechteausweitung und potenziell für Codeausführung ausnutzen lässt. Das Update für dieses Produkt behebt zugleich zwei hochriskante Schwachstellen beim Schreiben und Lesen außerhalb der Speichergrenzen, die zu Denial-of-Service-Zuständen und möglicherweise zu Datenkorruption oder Datenoffenlegung führen können.

Weitere hochriskante Lücken schloss Intel in der Vision-Software, im Endpoint Management Assistant (EMA), in der UEFI-Firmware für den Slim Bootloader sowie in den QuickAssist-Technology-Treibern (QAT) für Windows. Eine erfolgreiche Ausnutzung kann zu Denial-of-Service, Rechteausweitung und potenziell zur Ausführung beliebigen Codes führen. Die restlichen von Intel behobenen Mängel sind mittlerer Schwere und betreffen unter anderem AI Playground, den Display-Virtualization-Treiber für Windows, den Linux-Treiber der 800-Series-Ethernet-Reihe, NPU-Treiber, UEFI-Firmware, das Server Firmware Update Utility, QAT-Treiber für Windows sowie einige Intel-Prozessoren.

AMD legte 15 Advisories zu 45 Schwachstellen vor, darunter eine kritische Lücke und zwei Dutzend hochriskante Probleme. Der kritische Fehler trägt die Kennung CVE-2026-0481 (CVSS-Wert 9,2) und betrifft den AMD Device Metrics Exporter aus dem ROCm-Ökosystem. Dieser gibt standardmäßig den Port 50061 auf allen Netzwerkschnittstellen frei und erlaubt unauthentifizierten Nutzern den Zugriff auf den gRPC-Server des GPU-Agenten. Laut AMD könne die nicht eingeschränkte Bindung an IP-Adressen einem entfernten Angreifer unbefugte Änderungen an der GPU-Konfiguration ermöglichen, was zu einem Verlust der Verfügbarkeit führen könne.

Darüber hinaus behob AMD hochriskante Schwachstellen unter anderem im Secure Processor (ASP), im GPIO-Controller, in Revenera InstallShield, im Ionic-Cloud-Treiber für ESXi, im RAID-Treiber, in Chipsatz-Treibern, im CPU-Operation-Cache von Produkten auf Zen-2-Basis, in Grafik- und Rechenzentrums-Beschleunigerprodukten, in den EPYC- und EPYC-Embedded-Prozessorplattformen sowie in einigen optionalen Software-Werkzeugen. Eine erfolgreiche Ausnutzung kann zu Rechteausweitung, beliebiger Codeausführung sowie lesendem und schreibendem Zugriff auf die Daten der betroffenen virtuellen Maschine oder des betroffenen Prozesses führen.