В новом релизе PHP 5.2.6 исправлено более 120 ошибок, среди которых несколько имеют отношение к безопасности:

Переполнение буфера в FastCGI SAPI;
Целочисленное переполнение в коде функции printf();
Проблема безопасности под номером CVE-2008-0599, подробности пока недоступны;
Возможность обхода ограничений safe_mode через cURL
Ошибка при передаче некорректной символьной последовательности в функцию escapeshellcmd();
Уязвимость в библиотеке PCRE, в PHP 5.2.6 произведено обновление до версии PCRE 7.6.

Ключевые исправления в PHP 5.2.6:

Две ошибки приводящие к краху процесса в коде posix дополнения;
Переедание памяти при соединении строк при помощи "." вместо ".=";
Возможность вызова приватного конструктора родительского объекта из статической функции;
Зацикливание в bz2_filter.c;
Утечка памяти в функциях использующих __toString();
Крах при передаче не инициализированных значений в функции вызывающие __get/__set;
Крах при передаче некорректных значений в pdo_pgsql;
Не вызывался метод __call() в случае вызова метода родителя из дочернего класса;
Крах при вызове метода xmlrpc_server_call_method();
Утечка памяти при преобразовании строк;
Проблемы с распределением памяти в SimpleXML.