Wireshark 4.6.7 Released With Fixes for Vulnerabilities Allowing Crashes via Malicious Packets
2026/07/10 CyberSecurityNews — Wireshark Foundation が公表したのは、セキュリティに重点を置いた Wireshark 4.6.7 のリリースである。このアップデートで修正されたのは、特別に細工されたパケットまたはキャプチャ・ファイルを処理する際に、広く利用されているネットワーク・プロトコル・アナライザのクラッシュに至る複数の脆弱性である。Wireshark は、セキュリティ研究者/ネットワーク管理者/開発者/インシデント対応チームにより、ネットワーク・トラフィックの検査と、通信問題のトラブル・シューティングに広く使用されている。

このアプリケーションは、数百種類の複雑なプロトコルとキャプチャ形式を解析するため、不正な形式の入力を処理する際に、個々のディセクタおよびファイル・パーサーに存在する弱点が露出する傾向がある。
今回のリリースでは、wnpa-sec-2026-52 〜 wnpa-sec-2026-63 として識別される 12 件のセキュリティ・アドバイザリが対処されている。Wireshark の大半の欠陥は、悪意のデータを分析している間の、過剰な処理ループ/応答不能/予期せぬ終了などを引き起こす可能性がある。
Wireshark 4.6.7 がリリース
影響を受けるコンポーネントには、Catapult DCT2000/SSH/IEEE 802.11/Z39.50/UMTS FP/FMP/NOTIFY/TLS Encrypted Client Hello のディセクタが含まれる。また、pcapng/BLF/DBS Etherwatch のキャプチャ・ファイル・パーサーと、Ciscodump 外部キャプチャ・ユーティリティにもセキュリティ修正が導入された。
| Advisory | Affected component | Vulnerability type | Potential impact |
|---|---|---|---|
| wnpa-sec-2026-52 | Catapult DCT2000 protocol dissector | Crash / buffer-handling flaw | A malicious packet or capture file could cause Wireshark to crash. |
| wnpa-sec-2026-53 | pcapng file parser | Parser crash | Opening a specially crafted pcapng capture file could terminate Wireshark. |
| wnpa-sec-2026-54 | FMP/NOTIFY protocol dissector | Excessive processing loop | Crafted traffic could make Wireshark consume excessive CPU resources or become unresponsive. |
| wnpa-sec-2026-55 | SSH protocol dissector | Dissector crash | Malformed SSH traffic could crash Wireshark during packet analysis. |
| wnpa-sec-2026-56 | TLS ECH decryption | Decryption-related crash | Specially crafted TLS Encrypted Client Hello data could cause a crash. |
| wnpa-sec-2026-57 | IEEE 802.11 protocol dissector | Dissector crash | Malicious or malformed wireless frames could terminate the application. |
| wnpa-sec-2026-58 | Z39.50 protocol dissector | Dissector crash | A crafted Z39.50 packet could cause Wireshark to crash. |
| wnpa-sec-2026-59 | UMTS FP protocol dissector | Dissector crash | Malformed UMTS Frame Protocol traffic could trigger an application crash. |
| wnpa-sec-2026-60 | BLF file parser | Information disclosure | A crafted Binary Logging Format file could expose unintended process or memory information. |
| wnpa-sec-2026-61 | Multiple protocol dissectors | Infinite loops | Malicious packets could cause Wireshark to hang indefinitely, resulting in denial of service. |
| wnpa-sec-2026-62 | DBS Etherwatch file parser | Parser crash | Opening a malicious DBS Etherwatch capture file could crash Wireshark. |
| wnpa-sec-2026-63 | Ciscodump extcap utility | External capture utility crash | Crafted input or capture conditions could cause the Ciscodump component to terminate unexpectedly. |
注目すべき問題の 1 つである wnpa-sec-2026-61 は、複数のプロトコル・ディセクタにおける無限ループに関係するものだ。このような欠陥を悪用する攻撃者は、処理リソースを消費させ、アナリストのワークフローを妨害する可能性がある。BLF パーサに存在する別の脆弱性は、細工されたキャプチャ・ファイルが開かれた際に、情報漏洩を引き起こす可能性がある。
今回のアップデートで修正されたものには、Ethernet POWERLINK ディセクタにおける Use-After-Free 状態/Android Logcat パーサーにおけるヒープバッファ・オーバーフロー/特定の時間ベースの表示フィルタをコンパイルする際にトリガーされるヒープバッファ・オーバーフロー読み取りなどがある。
その他の安定性のための修正では、メモリリーク/不正な形式の H.265 パケット処理/Wireshark の保存済み recent 設定に関係するヒープ破損クラッシュといった、ファジング・テストで発見された複数の問題が対処されている。
信頼できないパケットキャプチャ/マルウェアが生成したトラフィック/不審な無線フレーム/第三者から提出されたファイルを、アナリストたちが日常的に調査する環境において、これらの脆弱性は特に危険である。
悪意のキャプチャをオープン/処理するだけで、影響を受ける欠陥の一部がトリガーされる可能性がある。今回のアドバイザリでは、リモートコード実行は説明されていないが、クラッシュ/ハング/意図しないデータ露出であっても、調査およびセキュリティ運用が妨げられる可能性がある。
Wireshark 4.6.7 では、新たなプロトコル・サポートは追加されていない。しかし、DNS/BACapp/DCERPC/EPL/H.265/IEEE 802.11/SSH/UMTS FP/Z39.50 などの、多数の既存ディセクタが更新されている。また、Android Logcat/BLF/DBS Etherwatch/Netlog/pcapng のキャプチャファイルに対するサポートも、改善されている。
現在の Windows インストール・パッケージは、Visual Studio 2026 でビルドされている。このプロジェクトは、Unix 系システムにおけるデフォルトの extcap バイナリ位置に影響する、以前の変更についても明確化している。この変更により、サードパーティ・エクステンション・パッケージングの調整が必要になる可能性がある。
Wireshark は非営利団体である Wireshark Foundation により維持され、プロトコル分析教育/公式トレーニング/認定/SharkFest 開発者およびユーザー・カンファレンスを支援している。
また、このプロジェクトは、コミュニティからの貢献とスポンサーシップに依存しながら、広範なプロトコル・エコシステム全体でのアナライザ開発を継続し、セキュリティ問題に対応している。
管理者にとって必要なことは、手動検証なしにキャプチャを取り込む、自動ワークフローの見直しである。無人解析により、日常運用中に脆弱なコンポーネントが露出する可能性があるためだ。
影響を受ける Wireshark バージョンを実行しているユーザーおよび組織は、可能な限り早急に、バージョン 4.6.7 へとアップグレードすべきだ。システムが更新されるまで、不明/信頼できないソースからのキャプチャ・ファイルを開くことを避け、不審なトラフィックを調査する際には、分離された分析環境を使用すべきである。
訳者後書:さまざまな通信が飛び交うネットワークの解析現場では、複雑なプロトコルを正確に読み解くために、高度なデータ処理システムが必要となります。Wireshark 環境において、多種多様なパケットを解析する処理ロジックの隙を突かれる問題が確認されました。一連の脆弱性が悪用され、不正に細工された通信データを読み込むだけで、プログラムの強制終了や内部データの漏洩が生じる恐れがあります。安全にトラフィック分析を行うために、修正プログラムが適用された最新のバージョン 4.6.7 へのアップデートが必要です。よろしければ、Wireshark での検索結果も、ご参照ください。
You must be logged in to post a comment.