In PHP 5.3.5 troviamo infatti, una format string vulnerability che permetterebbe ad un attaccante di poter vedere la memoria, causare un dos o eseguire codice arbitrario. Troviamo anche un integer overflow nella funzione shmop_read() che permetterebbe un denial of service.

Altre problematiche si incontrano con particolari tags nei metadati exif e con archivi zip vuoti.

Oltre alla risoluzione di problematiche, nella nuova versione è stato aggiornato SQLite3 alla versione 3.7.4 e PCRE alla 8.11.

Gli sviluppatori consigliano di non utilizzare più la vecchia versione 5.2 ormai non più supportata e di passare alla 5.3.

Fonte: http://www.h-online.com/security/news/item/PHP-5-3-6-closes-five-security-holes-1210147.html