- 26,532
- 46
- 8 Ноя 2022
Как главный инструмент анализа трафика превратился в главную мишень.
Wireshark получил крупное обновление безопасности: разработчики закрыли более 40 уязвимостей, часть из которых позволяет выполнить произвольный код через специально сформированные сетевые пакеты или вредоносные файлы захвата. Для инструмента, который используют для анализа трафика и расследования инцидентов, риск выглядит особенно серьезным.
Обновление вышло в версии 4.6.5. Разработчики рекомендуют установить его как можно быстрее всем, кто запускает Wireshark в корпоративной сети, SOC или лаборатории анализа.
Самые опасные ошибки связаны с возможностью выполнения кода. Речь о четырёх компонентах, которые разбирают сетевые протоколы и данные:
Значительная часть остальных исправлений связана с отказом в обслуживании . Различные модули разбора протоколов падают при обработке специально подготовленных пакетов. В список попали десятки протоколов и форматов: от Monero, BT-DHT и ICMPv6 до HTTP, WebSocket и MySQL. Достаточно находиться в одной сети с жертвой и отправить такой пакет — авторизация не требуется.
Отдельный класс проблем вызывает зависание программы. Некоторые ошибки приводят к бесконечным циклам, которые полностью блокируют анализ и нагружают систему. Среди затронутых компонентов — разбор SMB2, TLS, OpenFlow, USB HID и других протоколов. В автоматических системах сбора трафика одна такая ошибка может остановить весь процесс анализа: Wireshark зависает и не обрабатывает новые данные.
Разработчики исправили и более глубокие уязвимости в механизме декомпрессии. Ошибки в обработке сжатых данных zlib и алгоритма LZ77 приводили к крашам при разборе пакетов. Эти дефекты опаснее локальных проблем в отдельных протоколах: любой протокол, который использует сжатие, попадает под угрозу, поэтому площадь атаки заметно расширяется.
Всего исправления затронули несколько категорий: выполнение кода в модулях TLS, RDP и SBC, зависания в разборе сетевых протоколов, массовые краши при обработке пакетов и ошибки в движке декомпрессии. Диапазон CVE охватывает десятки записей — от CVE-2026-5299 до CVE-2026-6870.
Команда Wireshark отмечает, что часть уязвимостей нашли с помощью инструментов на базе ИИ , которые ускорили проверку большого числа протокольных модулей. Такой подход позволил выявить проблемы сразу в разных частях кода.
Для организаций, где Wireshark работает в режиме захвата трафика или встроен в системы мониторинга и SIEM , обновление - приоритетная задача. Уязвимости в TLS, RDP и SBC дают атакующему шанс выполнить код, а ошибки с зависанием и крашами позволяют остановить анализ сети одним пакетом.
Wireshark получил крупное обновление безопасности: разработчики закрыли более 40 уязвимостей, часть из которых позволяет выполнить произвольный код через специально сформированные сетевые пакеты или вредоносные файлы захвата. Для инструмента, который используют для анализа трафика и расследования инцидентов, риск выглядит особенно серьезным.
Обновление вышло в версии 4.6.5. Разработчики рекомендуют установить его как можно быстрее всем, кто запускает Wireshark в корпоративной сети, SOC или лаборатории анализа.
Самые опасные ошибки связаны с возможностью выполнения кода. Речь о четырёх компонентах, которые разбирают сетевые протоколы и данные:
- модуль TLS (CVE-2026-5402) падает при разборе повреждённого трафика и может привести к выполнению кода
- обработчик аудиокодека SBC (CVE-2026-5403) даёт тот же эффект при анализе данных
- модуль RDP (CVE-2026-5405) уязвим при разборе пакетов удалённого рабочего стола
- импорт профилей (CVE-2026-5656) может привести к выполнению кода при загрузке настроек
Значительная часть остальных исправлений связана с отказом в обслуживании . Различные модули разбора протоколов падают при обработке специально подготовленных пакетов. В список попали десятки протоколов и форматов: от Monero, BT-DHT и ICMPv6 до HTTP, WebSocket и MySQL. Достаточно находиться в одной сети с жертвой и отправить такой пакет — авторизация не требуется.
Отдельный класс проблем вызывает зависание программы. Некоторые ошибки приводят к бесконечным циклам, которые полностью блокируют анализ и нагружают систему. Среди затронутых компонентов — разбор SMB2, TLS, OpenFlow, USB HID и других протоколов. В автоматических системах сбора трафика одна такая ошибка может остановить весь процесс анализа: Wireshark зависает и не обрабатывает новые данные.
Разработчики исправили и более глубокие уязвимости в механизме декомпрессии. Ошибки в обработке сжатых данных zlib и алгоритма LZ77 приводили к крашам при разборе пакетов. Эти дефекты опаснее локальных проблем в отдельных протоколах: любой протокол, который использует сжатие, попадает под угрозу, поэтому площадь атаки заметно расширяется.
Всего исправления затронули несколько категорий: выполнение кода в модулях TLS, RDP и SBC, зависания в разборе сетевых протоколов, массовые краши при обработке пакетов и ошибки в движке декомпрессии. Диапазон CVE охватывает десятки записей — от CVE-2026-5299 до CVE-2026-6870.
Команда Wireshark отмечает, что часть уязвимостей нашли с помощью инструментов на базе ИИ , которые ускорили проверку большого числа протокольных модулей. Такой подход позволил выявить проблемы сразу в разных частях кода.
Для организаций, где Wireshark работает в режиме захвата трафика или встроен в системы мониторинга и SIEM , обновление - приоритетная задача. Уязвимости в TLS, RDP и SBC дают атакующему шанс выполнить код, а ошибки с зависанием и крашами позволяют остановить анализ сети одним пакетом.
- Источник новости
- www.securitylab.ru
