Wireshark 4.6.6: Sicherheitsupdate behebt Absturz durch manipulierte Pakete

Der Fehler befand sich im ROHC-Protokoll-Dissector, einer Komponente, die für die Analyse komprimierter IP-Paket-Header zuständig ist.

Durch das Einfügen eines fehlerhaften Pakets in eine laufende Erfassung oder das Bereitstellen eines speziell erstellten.pcap-Dateis könnte ein Bedrohungsakteur einen unbehandelten Absturz auslösen, was Analyse-Workflows für Netzwerke unterbricht und Überwachungs-Umgebungen potenziell destabilisieren kann.

Zusätzlich wurde ein globaler Pufferüberlauf im MACsec-Dissector (Issue 21235) behoben, der ein Sicherheitsrisiko für den Speicher während der Paketanalyse 802.1AE-verschlüsseltem Verkehr darstellte. Beide Schwachstellen wurden durch Fuzz-Testing-Kampagnen, die im Mai 2026 durchgeführt wurden, aufgedeckt.

Sicherheitslage und Risiko

Fehlerbehebungen und Stabilitätsverbesserungen Neben den Sicherheitspatches behebt Wireshark 4.6.6 mehrere hochrelevante Fehler: Absturz unter Windows in Visual Studio (Work Item 24787) – eine Regression in der Entwicklungsumgebung wurde nun behoben Uninitialisierte Speicherzugriffe in den Funktionen pntoh16 und find_signature innerhalb des VeriWave (vwr)-Dateilesers (Issues 16460, 16461) Inkompatibilität mit Windows 10 Version 1809 – Wireshark 4.6.5 konnte nicht auf Windows 10 1809, Server 2019 sowie bestimmten LTSC-Versionen ausgeführt werden (Issue 21237) Unbeabsichtigte Deaktivierung Windows, wenn optionale Features nicht explizit erhalten blieben (Issue 18925) Überdimensionierte Executable-Größe – Wireshark.exe 4.6.5 war aufgrund eines Verpackungsfehlers doppelt so groß wie Version 4.6.4 (Issue 21233) Zwei Abstürze Mai 2026 (Issues 21240, 21253) Diese Version enthält Npcap 1.88 und ersetzt das zuvor mitgelieferte Npcap 1.87, wodurch die Zuverlässigkeit der paketbasierten Erfassung auf niedriger Ebene unter Windows verbessert wird.

Es wurden keine neuen Protokolle eingefhrt, doch die aktualisierte Untersttzung fr Dissektoren umfasst BACapp, MACsec, ROHC, Kafka, SIP, PFCP, BPv7 sowie weitere. Die Aktualisierungen der Untersttzung fr Erfassungsdateien beinhalten die Formate JSON und VeriWave.

Auf Unix-Systemen wechseln die extcap-Binaries standardmig zum Verzeichnis /usr/libexec/wireshark/extcap  eine nderung, die ursprnglich in Version 4.6.0 eingefhrt wurde, aber erst in dieser Version offiziell dokumentiert ist.

Sicherheitsteams und Netzwerkanalysten, die Wireshark in Produktions- oder berwachungsumgebungen einsetzen, sollten umgehend auf Version 4.6.6 aktualisieren, insbesondere aufgrund des Risikos eines Absturzes des ROHC-Dissektors in Umgebungen, die un vertrauenswrdige oder externe Erfassungsdaten verarbeiten. Downloads sind unter wireshark verfgbar.