В новой версии Wireshark устаревший WinPcap заменили на Npcap

В новой версии Wireshark устаревший WinPcap заменили на Npcap

В новой версии Wireshark устаревший WinPcap заменили на Npcap

Wireshark Foundation выпустила новую версию популярного анализатора трафика для компьютерных сетей Ethernet — Wireshark 3.0.0. Напомним, что Wireshark — решение с открытым исходным кодом, предназначенное для анализа сетевых пакетов.

Выпущенный релиз устраняет несколько багов, реализует десятки новых функций, а также улучшает уже существующие возможности.

Самым главным нововведением является замена инструмента WinPcap на Npcap. WinPcap использовался для захвата и передачи сетевых пакетов, однако он не обновлялся с 2013 года — инструмент больше не поддерживается разработчиками.

Npcap представляет собой библиотеку для Windows, которая может «прослушивать» пакеты. Npcap основана на WinPcap/Libpcap, однако в ней улучшена скорость, портативность и безопасность.

Npcap до сих пор активно поддерживается разработчиками Nmap Project, последний раз библиотека была обновлена шесть месяцев назад.

Помимо этого, последняя на данный момент версия Wireshark 3.0.0 реализует поддержку десяти новых протоколов, а также избавляется от устаревших и неактуальных функций. Более того, разработчики добавили поддержку старых версий сторонних инструментов вроде Qt, GLib, GnuTLS и Python.

Патч для Windows Defender может забить ваш диск до краёв

Microsoft выпустила патч для 0-day уязвимости RoguePlanet, она же CVE-2026-50656, в движке безопасности встроенного антивируса Defender. Но история, похоже, не закончилась: исследователь NightmareEclipse, который ранее раскрыл баг, утверждает, что новый патч может привести к забиванию диска огромными файлами.

RoguePlanet стала известна в июне, когда NightmareEclipse опубликовал детали уязвимости и эксплойт.

По его словам, баг позволял удалённому атакующему получить административный контроль над Windows 10 и Windows 11 даже при отключённой защите в реальном времени.

В среду Microsoft сообщила, что закрыла проблему обновлением Microsoft Malware Protection Engine — компонента, который использует Defender. Обновление должно установиться автоматически, без действий пользователя. Вместе с ним компания добавила дополнительные защитные меры.

И вот тут, по версии исследователя, началось веселье. NightmareEclipse заявил, что патчи могут вызывать поведение, при котором Defender записывает на диск огромные объёмы данных и в итоге съедает всё свободное место. Проблема якобы связана с mpengine.dll и функциями SpyNet, которые пытаются локально кешировать файл Zone.Identifier — служебные метаданные Windows о происхождении файла.

Обычно Defender ограничивает размер файлов, которые записывает при проверке и карантине. Но, как утверждает исследователь, для Zone.Identifier есть исключение: Defender может сохранять этот поток данных локально независимо от его размера.

По словам NightmareEclipse, атаку можно организовать через специально подготовленный SMB-сервер. Он должен отдавать вредоносный файл и огромный альтернативный поток данных Zone.Identifier, а затем удерживать соединение. В результате Defender может зависнуть на обработке и держать файлы, занимающие всё свободное место на диске.

Компьютер от этого не обязательно упадёт сразу, но Windows с полностью забитым диском начинает вести себя как уставший сервер: приложения и службы могут сбоить хаотично.

Microsoft на момент публикации не подтвердила описанное поведение. При этом конфликт между компанией и NightmareEclipse тянется уже несколько месяцев: исследователь обвинял Microsoft в отсутствии поощрения за найденные дыры, а корпорация критиковала его за раскрытие уязвимостей до исправлений.

RSS: Новости на портале Anti-Malware.ru