全球最流行的网络协议分析工具Wireshark刚发布了4.6.7版本,一口气修复了12个安全漏洞。这些漏洞的共同点是:攻击者只需让你打开一个精心构造的数据包或抓包文件,Wireshark就可能直接崩溃、陷入死循环,或者完全停止响应。
对于安全研究员、网络管理员、开发人员和事件响应团队来说,Wireshark是他们日常排查网络故障、分析可疑流量的核心工具。正因为它要解析上百种复杂协议和抓包格式,畸形输入在个别协议解析器和文件解析器上,总能找到可乘之机。
本次修复的12项安全公告编号从wnpa-sec-2026-52到wnpa-sec-2026-63。受影响的组件包括Catapult DCT2000、SSH、IEEE 802.11、Z39.50、UMTS FP、FMP/NOTIFY和TLS Encrypted Client Hello等协议解析器,以及pcapng、BLF、DBS Etherwatch抓包文件解析器和Ciscodump外部抓包工具。
其中一个值得注意的问题编号为wnpa-sec-2026-61,涉及多个协议解析器中的无限循环缺陷。攻击者可以利用这类漏洞持续消耗处理器资源,打乱分析人员的工作节奏。BLF解析器还有一个漏洞,在打开特定构造的抓包文件时可能导致信息泄露。
其他稳定性修复包括:Ethernet POWERLINK解析器中的释放后使用问题、Android Logcat解析器中的堆缓冲区溢出,以及在编译某些基于时间的显示过滤器时触发的堆缓冲区溢出读取。此外,还修复了内存泄漏、H.265畸形数据包处理缺陷、由Wireshark最近保存设置引发的堆损坏崩溃,以及通过模糊测试发现的多项问题。
在那些需要常态化分析不可信抓包、恶意软件流量、可疑无线帧或第三方提交文件的场景下,这些漏洞的威胁尤为突出。根据安全公告的描述,虽然未涉及远程代码执行,但崩溃、挂起和意外数据暴露仍足以干扰调查进度和安全运维。Wireshark 4.6.7没有新增协议支持,但更新了大量现有解析器,包括DNS、BACapp、DCERPC、EPL、H.265、IEEE 802.11、SSH、UMTS FP和Z39.50,并改进了对Android Logcat、BLF、DBS Etherwatch、Netlog和pcapng抓包文件的支持。
热门跟贴