XZ Utils 5.8.3: Sicherheitsupdate mit unklarem Risiko

KI-Zusammenfassung

Die XZ Utils Entwickler haben Version 5.8.3 veröffentlicht, die die seit Version 5.0.0 bestehende Schwachstelle CVE-2026-34743 in der Funktion lzma_index_append() beseitigt. Gentoo-Entwickler Sam James und die XZ-Maintainer halten die Lücke für praktisch nicht ausnutzbar, da sie eine seltene API-Kombination voraussetzt. Dagegen klassifizieren Tenable und das CERT-Bund des Bundesamts für Sicherheit in der Informationstechnik (BSI) das Risiko als „kritisch“ und vergeben einen CVSS-Score von 9.8. Slackware hat bereits aktualisierte Pakete bereitgestellt, während Debian die betroffenen Versionen listet, aber noch keine eigenen Patches ausliefert. Die Verwundbarkeit betrifft neben CVE-2026-34743 auch einen weiteren, nicht eingestuften Speicherzugriffsfehler auf 32-Bit-Systemen.