Mozilla hat Updates für Firefox veröffentlicht, um zwei kritische Schwachstellen zu schließen. In einem Sicherheitshinweis erklärte das Unternehmen, man wisse, dass Exploit-Code dafür öffentlich vorliegt. Zugleich gebe es keine Erkenntnisse über Angriffe in freier Wildbahn, die diese Lücken bereits missbrauchen. Behoben wurden beide Schwachstellen in Firefox 152.0.6.

Auch Google hat Sicherheitsupdates ausgeliefert und nach eigenen Angaben 15 Schwachstellen in Chrome korrigiert. Dazu zählen zwei kritische Use-after-free-Fehler in Ozone, die unter den Kennungen CVE-2026-15764 und CVE-2026-15765 geführt werden. Ozone ist eine plattformübergreifende Abstraktionsschicht, über die der Browser nativ mit verschiedenen Display-Servern und Fenstersystemen interagieren kann; unterstützt werden Linux, ChromeOS und Fuchsia.

Zur CVE-2026-15764 heißt es in der NIST National Vulnerability Database, dass ein entfernter Angreifer in Google Chrome unter Linux vor Version 150.0.7871.125 nach bestimmten Benutzerinteraktionen über eine präparierte HTML-Seite möglicherweise eine Heap-Korruption auslösen konnte. Die behobenen Versionen sind Chrome 150.0.7871.124/.125 für Windows und Mac sowie 150.0.7871.124 für Linux.

Adobe hat parallel Sicherheitsupdates für 88 Schwachstellen veröffentlicht. Darunter befinden sich mehrere kritische Fehler in ColdFusion, Commerce, Experience Manager und Illustrator. Von diesen 88 Lücken betreffen acht Adobe ColdFusion. Die ColdFusion-Schwachstellen wurden in ColdFusion 2025 Update 11 und ColdFusion 2023 Update 22 behoben.

Zusätzlich hat Adobe jeweils zwei kritische Schwachstellen in Adobe Commerce und Magento Open Source sowie in Adobe Experience Manager geschlossen. Weitere Einzelheiten zu den einzelnen Fehlern nennt der Quelltext nicht, wohl aber die Einordnung, dass es sich um mehrere Schwachstellen mit kritischem Schweregrad in den genannten Produkten handelt.

Broadcom hat außerdem eine Korrektur für eine kritische Schwachstelle in VMware Avi Load Balancer veröffentlicht. Die Lücke wird als CVE-2026-47865 geführt und hat einen CVSS-Wert von 9,8. Es handelt sich um eine Umgehung der Authentifizierung, die laut Beschreibung von einem böswilligen Nutzer mit Netzwerkzugang ausgenutzt werden kann, um auf die Avi-Kontrollinstanz zuzugreifen.

Entdeckt und gemeldet wurde die Schwachstelle laut Broadcom von Filip Waeytens vom NATO Cyber Security Centre (NCSC). Keine der hier genannten Lücken ist nach den vorliegenden Angaben als aktiv ausgenutzt gekennzeichnet.