Проект Wireshark, фундаментальный инструмент для анализа сетевого трафика, выпустил критическое обновление безопасности. Версия 4.6.4 устраняет несколько опасных уязвимостей, способных привести к отказу в обслуживании (Denial-of-Service, DoS) и аварийному завершению работы программы. Эти недостатки затрагивают ключевые компоненты анализатора - так называемые диссекторы протоколов, что представляет особый риск для специалистов, работающих с непроверенными данными сетевого трафика.
Детали уязвимостей
Wireshark - это мощный сетевой анализатор протоколов с открытым исходным кодом, который позволяет в реальном времени или на основе сохранённых дампов изучать содержимое сетевых пакетов. Этот инструмент является де-факто стандартом для команд безопасности (SOC), сетевых инженеров и разработчиков, занимающихся отладкой сетевых взаимодействий. Проект курируется некоммерческой организацией Wireshark Foundation, которая также проводит конференции SharkFest и предлагает официальное обучение и сертификацию для профессионалов в этой области. Именно повсеместное использование Wireshark в критически важных процессах расследования инцидентов и мониторинга делает своевременное устранение в нём уязвимостей задачей первостепенной важности.
Центральным элементом нового выпуска стали исправления трёх уязвимостей, получивших идентификаторы в системе CVE. Первая, CVE‑2026‑3201, обнаружена в диссекторе протокола USB HID (Human Interface Device). Проблема заключалась в некорректно контролируемом последовательном выделении памяти. При обработке специально сформированного трафика USB HID или файлов захвата это могло привести к исчерпанию памяти и, как следствие, к отказу в обслуживании самого анализатора. Для аналитика это означает неожиданный крах инструмента в самый ответственный момент расследования, потенциальную потерю данных сессии и необходимость перезапуска захвата трафика.
Вторая уязвимость, CVE‑2026‑3202, связана с разыменованием нулевого указателя (NULL pointer dereference) в диссекторе протокола NTS-KE (Network Time Security Key Establishment). Обработка повреждённого трафика установки ключей сетевой безопасности времени могла вызвать аварийное завершение работы Wireshark. Третья проблема, не получившая отдельного идентификатора CVE на момент публикации, затрагивает диссектор профиля RF4CE (Radio Frequency for Consumer Electronics). Аналогичным образом, ошибка в коде приводит к падению программы во время разбора пакетов. Все эти сценарии создают прямую угрозу непрерывности рабочего процесса специалиста по безопасности, особенно при анализе подозрительных или враждебных сетевых активностей, где каждая секунда имеет значение.
Однако обновление выходит далеко за рамки закрытия трёх уязвимостей. Разработчики устранили ряд важных операционных ошибок, повышающих общую стабильность и надёжность инструмента в корпоративной среде. Например, была исправлена давняя проблема, из-за которой Wireshark отказывался запускаться на системах Windows с усиленной безопасностью, где драйвер захвата пакетов Npcap был сконфигурирован с ограничением доступа только для администраторов. Это исправление возвращает полноценную функциональность инструмента в строго регламентированных развёртываниях.
Кроме того, были устранены сбои и ошибки сегментации в консольной утилите TShark и инструменте editcap при работе с выводом в формате BLF (Binary Logging Format). Это снижает риск сбоев в автоматизированных конвейерах анализа, которые часто строятся на основе этих утилит. Также улучшена производительность: исправлены квадратичные замедления в системе Expert Info, проблемы с декодированием полезной нагрузки EMERGENCY_CALL_NUMBERS в протоколе IKEv2 и ошибки десинхронизации в диссекторе TDS (Tabular Data Stream). Последнее особенно актуально для анализа трафика баз данных в сложных корпоративных или телекоммуникационных сетях.
Важным аспектом является и усиление устойчивости к повреждённым входным данным. Работа с файлами захвата в форматах BLF, pcapng и TTL была доработана, чтобы Wireshark корректно обрабатывал специально искажённые (фаззированные) файлы, которые ранее вызывали крахи или ошибки некорректного пакета. Это не только повышает отказоустойчивость, но и косвенно укрепляет безопасность, так как подобные техники часто используются злоумышленниками для тестирования стабильности программного обеспечения.
Специалистам в области информационной безопасности, сетевым операторам и разработчикам настоятельно рекомендуется как можно скорее обновиться до Wireshark 4.6.4. Это особенно критично для сред, где аналитики регулярно работают с файлами захвата от третьих сторон или осуществляют мониторинг непроверенных и потенциально враждебных сетей. Задержка с обновлением оставляет систему анализа уязвимой для атак, целью которых является не прямое проникновение, а нарушение работоспособности ключевого инструмента мониторинга и расследования. Установочные пакеты и исходный код доступны на официальной странице загрузки Wireshark, в то время как для многих дистрибутивов Linux и Unix обновлённые сборки уже поставляются через встроенные менеджеры пакетов. Своевременное применение этого патча - это не просто рутинное обновление, а необходимый шаг по обеспечению надёжности и непрерывности процессов сетевой безопасности.
Ссылки
- https://www.wireshark.org/docs/relnotes/wireshark-4.6.4.html
- https://www.cve.org/CVERecord?id=CVE-2026-3201
- https://www.cve.org/CVERecord?id=CVE-2026-3202
- https://www.wireshark.org/security/wnpa-sec-2026-06.html
- https://gitlab.com/wireshark/wireshark/-/issues/20972
- https://gitlab.com/wireshark/wireshark/-/issues/21000
