В Wireshark закрыли десятки уязвимостей после волны ИИ-отчётов

Wireshark Foundation выпустила версию Wireshark 4.6.5, срочное обновление популярного анализатора сетевого трафика. Релиз получился особенно важным, поскольку в нём закрыли более 40 уязвимостей, часть из которых позволяет выполнить произвольный код.

Самые серьёзные проблемы связаны с обработчиками отдельных протоколов и файловых форматов.

Среди них уязвимости в TLS-, RDP- и SBC-диссекторах, а также ошибка в механизме импорта профилей. В ряде сценариев специально сформированный сетевой пакет или вредоносный файл могут привести не просто к падению Wireshark, а к выполнению кода в контексте приложения.

Атака может выглядеть просто: злоумышленник отправляет в сеть особым образом модифицированные пакеты, которые затем анализирует специалист с запущенным Wireshark.

Другой вариант — подготовить заражённый pcap-файл и убедить аналитика его открыть. При разборе таких данных приложение может столкнуться с повреждением памяти, включая переполнение буфера.

Помимо потенциального выполнения кода, Wireshark 4.6.5 исправляет десятки DoS-уязвимостей. Они могли вызывать зависания, бесконечные циклы и аварийное завершение работы при разборе SMB2, HTTP, ICMPv6, MySQL и других протоколов. Также проблемы нашли в механизмах распаковки zlib и LZ77.

Разработчики Wireshark пока не сообщают о случаях эксплуатации этих уязвимостей в реальных атаках. Но с учётом масштаба обновления и возможных последствий откладывать установку патча явно не стоит.

Wireshark 4.6.5 уже доступна на официальном сайте проекта.