SchwachstellenCloud-SicherheitIoT-Sicherheit

Chipmaker-Patch-Day: Intel und AMD beheben 70 Sicherheitslücken

Von CyberDeutsch Redaktion
Chipmaker-Patch-Day: Intel und AMD beheben 70 Sicherheitslücken
Zusammenfassung

Intel und AMD haben zur Patch-Tuesday-Serie im Mai 2026 über zwei Dutzend Sicherheitsempfehlungen veröffentlicht und damit insgesamt 70 Sicherheitslücken in ihren Produktportfolios geschlossen. Intel adressierte 24 Schwachstellen mit einer kritischen und acht hochgradigen Fehlern, darunter eine kritische Buffer-Overflow-Lücke (CVE-2026-20794, CVSS 9,3) im Data Center Graphics Driver für VMware ESXi, die zu Berechtigungserweiterung und potenzieller Code-Ausführung führen könnte. AMD behob 45 Vulnerabilities mit einer kritischen Schwachstelle (CVE-2026-0481, CVSS 9,2) in der AMD Device Metrics Exporter des ROCm-Ökosystems, die unauthentifizierten Remote-Zugriff auf GPU-Konfigurationen ermöglicht. Für deutsche Unternehmen und Behörden ist dieses Patch-Update besonders relevant, da Chip-Vulnerabilities Rechenzentren, Cloud-Infrastrukturen und hochperformante GPU-Systeme gefährden können. Insbesondere Organisationen mit VMware-ESXi-Umgebungen oder AMD-basierten High-Performance-Computing-Systemen sollten die Patches unverzüglich einspielen, um Privilege Escalation, unbefugten Datenzugriff und Betriebsunterbrechungen zu vermeiden. Die hochgradigen Schwachstellen in kritischen Infrastrukturen könnten erhebliche Ausfallzeiten und Datenverluste verursachen.

Die beiden Chip-Hersteller haben im Rahmen des Patch Tuesday im Mai 2026 eine ungewöhnlich hohe Anzahl kritischer Sicherheitslücken behoben. Intel veröffentlichte 13 Sicherheitshinweise für insgesamt 24 Schwachstellen, während AMD mit 15 Advisories sogar 45 Lücken adressiert.

Intel konzentriert sich auf mehrere Produktbereiche: Die kritischste Lücke (CVE-2026-20794, CVSS 9,3) betrifft den Data Center Graphics Driver für VMware ESXi und ermöglicht Puffer-Überläufe, die zu Privileg-Eskalation und Code-Ausführung führen können. Dies ist ein direkter Sicherheitsrisiko für Virtualisierungsumgebungen in deutschen Rechenzentren. Zusätzlich wurden acht High-Severity-Lücken behoben, darunter Schwachstellen in der UEFI-Firmware, der QuickAssist Technology und verschiedenen Ethernet-Treibern für Linux-Systeme. Einige dieser Bugs könnten zu Denial-of-Service-Angriffen oder Datenverlust führen.

AMDs kritischer Bug (CVE-2026-0481, CVSS 9,2) ist besonders problematisch, da er die AMD Device Metrics Exporter im ROCm-Ökosystem betrifft. Diese Software exponiert standardmäßig Port 50061 auf allen Netzwerk-Interfaces, wodurch unauthentifizierte Angreifer auf GPU-Konfigurationen zugreifen können. Dies könnte zu unkontrollierter Veränderung von GPU-Einstellungen und Verfügbarkeitsverlust führen – ein erhebliches Risiko für KI-Infrastrukturen und High-Performance-Computing-Systeme in Deutschland.

AMD hat zudem 24 High-Severity-Schwachstellen in seinen Secure Processors, RAID-Treibern, Chipset-Treibern und EPYC-Prozessoren gepatcht. Besonders bedenklich sind Bugs in der CPU-Operation-Cache bei Zen-2-Prozessoren, die Privilege-Escalation und arbiträre Lese-/Schreibzugriffe ermöglichen können.

Für deutsche Organisationen gilt: Patch-Management ist nicht nur eine technische Notwendigkeit, sondern auch eine rechtliche Verpflichtung. Das BSI empfiehlt dringend, kritische Patches innerhalb weniger Tage einzuspielen. Unternehmen, die DSGVO-konform agieren müssen, sollten dokumentieren, dass sie die erforderlichen technischen Sicherheitsmaßnahmen (gemäß Artikel 32 DSGVO) implementiert haben – dazu gehört auch zeitnahes Patching. Eine Unterlassung könnte bei Sicherheitsverstößen zu Bußgeldern bis zu 4 Prozent des Jahresumsatzes führen.

Ähnliche Artikel