Wireshark 4.6.7 がリリース:悪意のパケット解析によるクラッシュなどに対応

Wireshark 4.6.7 Released With Fixes for Vulnerabilities Allowing Crashes via Malicious Packets

2026/07/10 CyberSecurityNews — Wireshark Foundation が公表したのは、セキュリティに重点を置いた Wireshark 4.6.7 のリリースである。このアップデートで修正されたのは、特別に細工されたパケットまたはキャプチャ・ファイルを処理する際に、広く利用されているネットワーク・プロトコル・アナライザのクラッシュに至る複数の脆弱性である。Wireshark は、セキュリティ研究者/ネットワーク管理者/開発者/インシデント対応チームにより、ネットワーク・トラフィックの検査と、通信問題のトラブル・シューティングに広く使用されている。

このアプリケーションは、数百種類の複雑なプロトコルとキャプチャ形式を解析するため、不正な形式の入力を処理する際に、個々のディセクタおよびファイル・パーサーに存在する弱点が露出する傾向がある。

今回のリリースでは、wnpa-sec-2026-52 〜 wnpa-sec-2026-63 として識別される 12 件のセキュリティ・アドバイザリが対処されている。Wireshark の大半の欠陥は、悪意のデータを分析している間の、過剰な処理ループ/応答不能/予期せぬ終了などを引き起こす可能性がある。

Wireshark 4.6.7 がリリース

影響を受けるコンポーネントには、Catapult DCT2000/SSH/IEEE 802.11/Z39.50/UMTS FP/FMP/NOTIFY/TLS Encrypted Client Hello のディセクタが含まれる。また、pcapng/BLF/DBS Etherwatch のキャプチャ・ファイル・パーサーと、Ciscodump 外部キャプチャ・ユーティリティにもセキュリティ修正が導入された。

AdvisoryAffected componentVulnerability typePotential impact
wnpa-sec-2026-52Catapult DCT2000 protocol dissectorCrash / buffer-handling flawA malicious packet or capture file could cause Wireshark to crash.
wnpa-sec-2026-53pcapng file parserParser crashOpening a specially crafted pcapng capture file could terminate Wireshark.
wnpa-sec-2026-54FMP/NOTIFY protocol dissectorExcessive processing loopCrafted traffic could make Wireshark consume excessive CPU resources or become unresponsive.
wnpa-sec-2026-55SSH protocol dissectorDissector crashMalformed SSH traffic could crash Wireshark during packet analysis.
wnpa-sec-2026-56TLS ECH decryptionDecryption-related crashSpecially crafted TLS Encrypted Client Hello data could cause a crash.
wnpa-sec-2026-57IEEE 802.11 protocol dissectorDissector crashMalicious or malformed wireless frames could terminate the application.
wnpa-sec-2026-58Z39.50 protocol dissectorDissector crashA crafted Z39.50 packet could cause Wireshark to crash.
wnpa-sec-2026-59UMTS FP protocol dissectorDissector crashMalformed UMTS Frame Protocol traffic could trigger an application crash.
wnpa-sec-2026-60BLF file parserInformation disclosureA crafted Binary Logging Format file could expose unintended process or memory information.
wnpa-sec-2026-61Multiple protocol dissectorsInfinite loopsMalicious packets could cause Wireshark to hang indefinitely, resulting in denial of service.
wnpa-sec-2026-62DBS Etherwatch file parserParser crashOpening a malicious DBS Etherwatch capture file could crash Wireshark.
wnpa-sec-2026-63Ciscodump extcap utilityExternal capture utility crashCrafted input or capture conditions could cause the Ciscodump component to terminate unexpectedly.

注目すべき問題の 1 つである wnpa-sec-2026-61 は、複数のプロトコル・ディセクタにおける無限ループに関係するものだ。このような欠陥を悪用する攻撃者は、処理リソースを消費させ、アナリストのワークフローを妨害する可能性がある。BLF パーサに存在する別の脆弱性は、細工されたキャプチャ・ファイルが開かれた際に、情報漏洩を引き起こす可能性がある。

今回のアップデートで修正されたものには、Ethernet POWERLINK ディセクタにおける Use-After-Free 状態/Android Logcat パーサーにおけるヒープバッファ・オーバーフロー/特定の時間ベースの表示フィルタをコンパイルする際にトリガーされるヒープバッファ・オーバーフロー読み取りなどがある。

その他の安定性のための修正では、メモリリーク/不正な形式の H.265 パケット処理/Wireshark の保存済み recent 設定に関係するヒープ破損クラッシュといった、ファジング・テストで発見された複数の問題が対処されている。

信頼できないパケットキャプチャ/マルウェアが生成したトラフィック/不審な無線フレーム/第三者から提出されたファイルを、アナリストたちが日常的に調査する環境において、これらの脆弱性は特に危険である。

悪意のキャプチャをオープン/処理するだけで、影響を受ける欠陥の一部がトリガーされる可能性がある。今回のアドバイザリでは、リモートコード実行は説明されていないが、クラッシュ/ハング/意図しないデータ露出であっても、調査およびセキュリティ運用が妨げられる可能性がある。

Wireshark 4.6.7 では、新たなプロトコル・サポートは追加されていない。しかし、DNS/BACapp/DCERPC/EPL/H.265/IEEE 802.11/SSH/UMTS FP/Z39.50 などの、多数の既存ディセクタが更新されている。また、Android Logcat/BLF/DBS Etherwatch/Netlog/pcapng のキャプチャファイルに対するサポートも、改善されている。

現在の Windows インストール・パッケージは、Visual Studio 2026 でビルドされている。このプロジェクトは、Unix 系システムにおけるデフォルトの extcap バイナリ位置に影響する、以前の変更についても明確化している。この変更により、サードパーティ・エクステンション・パッケージングの調整が必要になる可能性がある。

Wireshark は非営利団体である Wireshark Foundation により維持され、プロトコル分析教育/公式トレーニング/認定/SharkFest 開発者およびユーザー・カンファレンスを支援している。

また、このプロジェクトは、コミュニティからの貢献とスポンサーシップに依存しながら、広範なプロトコル・エコシステム全体でのアナライザ開発を継続し、セキュリティ問題に対応している。

管理者にとって必要なことは、手動検証なしにキャプチャを取り込む、自動ワークフローの見直しである。無人解析により、日常運用中に脆弱なコンポーネントが露出する可能性があるためだ。

影響を受ける Wireshark バージョンを実行しているユーザーおよび組織は、可能な限り早急に、バージョン 4.6.7 へとアップグレードすべきだ。システムが更新されるまで、不明/信頼できないソースからのキャプチャ・ファイルを開くことを避け、不審なトラフィックを調査する際には、分離された分析環境を使用すべきである。