Вы ловите угрозы Wireshark'ом? Поздравляем, теперь угроза — это сам Wireshark. 40+ уязвимостей в одном патче

Wireshark получил крупное обновление безопасности: разработчики закрыли более 40 уязвимостей, часть из которых позволяет выполнить произвольный код через специально сформированные сетевые пакеты или вредоносные файлы захвата. Для инструмента, который используют для анализа трафика и расследования инцидентов, риск выглядит особенно серьезным.

Обновление вышло в версии 4.6.5. Разработчики рекомендуют установить его как можно быстрее всем, кто запускает Wireshark в корпоративной сети, SOC или лаборатории анализа.

Самые опасные ошибки связаны с возможностью выполнения кода. Речь о четырёх компонентах, которые разбирают сетевые протоколы и данные:

• модуль TLS (CVE-2026-5402) падает при разборе повреждённого трафика и может привести к выполнению кода
• обработчик аудиокодека SBC (CVE-2026-5403) даёт тот же эффект при анализе данных
• модуль RDP (CVE-2026-5405) уязвим при разборе пакетов удалённого рабочего стола
• импорт профилей (CVE-2026-5656) может привести к выполнению кода при загрузке настроек

Во всех случаях проблема начинается с краша, но при удачном сценарии атакующий получает контроль над системой. Ситуацию осложняет типичная практика: в корпоративной среде Wireshark часто запускают с повышенными правами, поэтому успешная эксплуатация даёт злоумышленнику широкий доступ к машине.

Значительная часть остальных исправлений связана с отказом в обслуживании. Различные модули разбора протоколов падают при обработке специально подготовленных пакетов. В список попали десятки протоколов и форматов: от Monero, BT-DHT и ICMPv6 до HTTP, WebSocket и MySQL. Достаточно находиться в одной сети с жертвой и отправить такой пакет — авторизация не требуется.

Отдельный класс проблем вызывает зависание программы. Некоторые ошибки приводят к бесконечным циклам, которые полностью блокируют анализ и нагружают систему. Среди затронутых компонентов — разбор SMB2, TLS, OpenFlow, USB HID и других протоколов. В автоматических системах сбора трафика одна такая ошибка может остановить весь процесс анализа: Wireshark зависает и не обрабатывает новые данные.

Разработчики исправили и более глубокие уязвимости в механизме декомпрессии. Ошибки в обработке сжатых данных zlib и алгоритма LZ77 приводили к крашам при разборе пакетов. Эти дефекты опаснее локальных проблем в отдельных протоколах: любой протокол, который использует сжатие, попадает под угрозу, поэтому площадь атаки заметно расширяется.

Всего исправления затронули несколько категорий: выполнение кода в модулях TLS, RDP и SBC, зависания в разборе сетевых протоколов, массовые краши при обработке пакетов и ошибки в движке декомпрессии. Диапазон CVE охватывает десятки записей — от CVE-2026-5299 до CVE-2026-6870.

Команда Wireshark отмечает, что часть уязвимостей нашли с помощью инструментов на базе ИИ, которые ускорили проверку большого числа протокольных модулей. Такой подход позволил выявить проблемы сразу в разных частях кода.

Для организаций, где Wireshark работает в режиме захвата трафика или встроен в системы мониторинга и SIEM, обновление - приоритетная задача. Уязвимости в TLS, RDP и SBC дают атакующему шанс выполнить код, а ошибки с зависанием и крашами позволяют остановить анализ сети одним пакетом.