Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Gli strumenti di analisi di rete li consideriamo affidabili quasi per definizione.
Ma anche software solidi, usati ogni giorno da analisti e ingegneri, possono inciampare in errori piuttosto seri. Succede anche a Wireshark, probabilmente il più noto analizzatore di protocolli al mondo.
La nuova release 4.6.4 arriva proprio con questo obiettivo: sistemare alcune vulnerabilità e una lunga serie di bug che, in certe situazioni, potevano causare crash o comportamenti inattesi durante l’analisi dei pacchetti.
Non è una rivoluzione, ma è uno di quegli aggiornamenti che conviene installare senza pensarci troppo.
Partiamo dalla parte più delicata. La release corregge tre problemi di sicurezza identificati come CVE-2026-3201, CVE-2026-3202 e CVE-2026-3203.
Il primo riguarda il dissector USB HID e un problema di esaurimento della memoria. In pratica, in determinate condizioni il sistema poteva consumare risorse fino a causare malfunzionamenti. Non esattamente quello che vuoi mentre stai analizzando traffico critico.
Gli altri due bug potevano portare al crash di componenti specifici: il dissector NTS-KE e quello del profilo RF4CE. Chi lavora con protocolli particolari lo sa che basta un singolo dissector instabile per compromettere l’analisi di un intero file di cattura.
Una domanda veloce. Quante volte si dà per scontato che il parser di un protocollo sia impeccabile?
In realtà è proprio lì che spesso nascono i problemi.
Oltre alle vulnerabilità, la release affronta una lunga serie di bug che potevano creare difficoltà operative. Alcuni erano piuttosto fastidiosi.
Ad esempio Wireshark poteva non avviarsi quando Npcap era configurato con l’opzione che limita l’accesso ai soli amministratori. In altri casi si verificavano crash di strumenti come TShark o editcap quando il formato di output veniva impostato su BLF.
Poi ci sono errori meno visibili ma comunque insidiosi. Alcuni protocolli non venivano decodificati correttamente, come nel caso di determinate informazioni nei messaggi IKEv2 o nel parsing di specifici frame IEEE 802.11. Altri problemi riguardavano prestazioni degradate, messaggi di errore generati in modo improprio o parsing incompleto del traffico HTTP quando incapsulato in SOCKS.
Insomma… tanti piccoli ingranaggi sistemati.
Curiosamente non sono stati introdotti nuovi protocolli in questa versione. L’aggiornamento si concentra invece su miglioramenti del supporto per protocolli già esistenti, tra cui Art-Net, BGP, IPv6, MySQL, Socks, USB HID e diversi altri.
Le informazioni tecniche della release e i dettagli completi delle correzioni sono stati pubblicati dalla Wireshark Foundation, l’organizzazione che mantiene il progetto e promuove la formazione sull’analisi dei protocolli di rete.
