В анализаторе пакетов Wireshark 4.6.4 исправлена проблема с нехваткой памяти USB HID
Wireshark, ведущий бесплатный анализатор пакетов с открытым исходным кодом для устранения неполадок в сети, анализа и разработки протоколов, только что выпустил версию 4.6.4.
В этом выпуске исправлены три уязвимости, отмеченные как CVE-2026-3201, CVE-2026-3202 и CVE-2026-3203. К ним относятся ошибка, приводящая к исчерпанию памяти в USB HID-детекторах, а также сбои в NTS-KE и RF4CE Profile.
Помимо исправлений, связанных с безопасностью, обновление устраняет несколько проблем со стабильностью работы. Wireshark мог не запускаться, если для Npcap была выбрана опция «Ограничить доступ драйвера Npcap только администраторами». Эта проблема устранена.
Также было исправлено несколько ошибок, связанных с дешифратором. К ним относятся некорректное декодирование в дешифраторе Art-Net PollReply, невозможность декодировать новые типы RAT в Diameter в стандарте 3GPP TS 29.212, рассинхронизация в дешифраторе TDS при обработке определенных RPC и ошибки в структуре пакетов в кадрах Trigger HE Basic.
Дополнительные исправления улучшают работу с такими протоколами, как BGP, IPv6, ISAKMP, MySQL, NAS-5GS, SOCKS, USB HID и другими.
Что касается производительности и инструментов, то было устранено квадратичное замедление работы системы Expert Info, которое приводило к постепенному снижению производительности во время длительных сеансов анализа.
Кроме того, TShark и editcap больше не аварийно завершают работу из-за ошибки сегментации при использовании формата вывода BLF, а сообщения о фиктивных «ошибках Dissector» в некоторых сценариях работы конвейера были устранены.
Также была улучшена обработка файлов захвата. В этом выпуске исправлена некорректная запись пользовательских параметров pcapng со строковыми значениями и исправлены некорректные блоки параметров Darwin. Обновлена поддержка захвата в форматах BLF, pcapng и TTL, но новых возможностей декодирования файлов не появилось.
Для получения дополнительной информации см. объявление.
Выводы
Выпуск Wireshark 4.6.4 носит прежде всего исправительный характер и направлен на повышение безопасности и стабильности анализатора трафика. Ключевым изменением стало устранение уязвимости переполнения памяти в dissector’е USB HID (CVE-2026-3201), которая могла привести к отказу в обслуживании при обработке специально сформированных пакетов или файлов захвата.
Кроме того, обновление закрывает ряд сбоев в других протокольных анализаторах, исправляет проблемы запуска при ограничениях Npcap и устраняет ошибки декодирования различных сетевых протоколов. Это делает релиз важным для специалистов по сетевой безопасности, администраторов и разработчиков, регулярно использующих Wireshark в работе.
Отдельно стоит отметить улучшения производительности — устранено прогрессирующее замедление системы Expert Info при длительном анализе, а также исправлены падения утилит TShark и editcap. В совокупности обновление повышает надежность инструмента при работе с большими дампами трафика и в долгих сессиях анализа.
Таким образом, установка Wireshark 4.6.4 рекомендуется всем пользователям ветки 4.6.x и 4.4.x, поскольку обновление закрывает уязвимости, предотвращает возможные сбои и улучшает качество анализа сетевого трафика.
FAQ
Что за уязвимость исправлена в Wireshark 4.6.4?
Исправлена ошибка истощения памяти в dissector’е USB HID (CVE-2026-3201), которая могла позволить злоумышленнику вызвать отказ в обслуживании через специально созданные пакеты или файлы захвата.
Насколько опасна эта уязвимость?
Она оценивается как средняя по шкале CVSS и требует взаимодействия пользователя (например, открытия вредоносного дампа), однако может привести к исчерпанию памяти и остановке работы программы.
Какие версии Wireshark затронуты?
Проблема присутствовала в версиях 4.6.0–4.6.3 и 4.4.0–4.4.13. Исправление включено в 4.6.4 и 4.4.14.
Были ли исправлены только проблемы безопасности?
Нет. Обновление также устраняет ошибки декодирования протоколов, сбои запуска, проблемы производительности и падения вспомогательных инструментов.
Нужно ли обновляться, если Wireshark используется только локально?
Да. Даже при локальном использовании возможно открытие захваченных файлов из внешних источников, что может привести к эксплуатации уязвимости. Разработчики рекомендуют обновиться всем пользователям затронутых версий.
Редактор: AndreyEx
Важно: Данная статья носит информационный характер. Автор не несёт ответственности за возможные сбои или ошибки, возникшие при использовании описанного программного обеспечения.
