Lỗ hổng CVE Wireshark 4.6.6 cần vá khẩn cấp

25/05/2026
3 mins read
Lỗ hổng CVE Wireshark 4.6.6 cần vá khẩn cấp

Wireshark 4.6.6 là bản cập nhật cảnh báo CVE đáng chú ý dành cho các môi trường phân tích gói tin, khắc phục lỗi crash nghiêm trọng trong ROHC dissector có thể bị kích hoạt bằng một gói tin bị chỉnh sửa độc hại hoặc file .pcap được tạo sẵn. Bản phát hành này cũng sửa hơn một chục lỗi ổn định và tương thích, chủ yếu ảnh hưởng đến người dùng Windows và quy trình an ninh mạng trong giám sát lưu lượng.

Nội dung
Lỗ hổng Wireshark 4.6.6 Trong ROHC Dissector
Điều kiện kích hoạt
CVE Nghiêm Trọng Khác: MACsec Dissector Buffer Overflow
Mức độ ảnh hưởng đến hệ thống
Tin tức bảo mật Về Các Sửa Lỗi Ổn Định Trong Wireshark 4.6.6
Thay đổi đối với Unix
Khuyến Nghị Cập Nhật Bản Vá Cho Wireshark 4.6.6
IOC
Trạng Thái Kỹ Thuật Của Bản Vá

Lỗ hổng Wireshark 4.6.6 Trong ROHC Dissector

Điểm sửa lỗi chính của bản lỗ hổng CVE này là wnpa-sec-2026-51, một lỗi crash đã được xác nhận, được theo dõi trong Issue 21243 tại GitLab. Lỗi nằm trong ROHC protocol dissector, thành phần dùng để phân tích các header IP đã nén.

Khi Wireshark xử lý một gói tin bị làm sai định dạng trong luồng capture trực tiếp, hoặc mở một file capture có nội dung được tạo đặc biệt, tiến trình có thể gặp unhandled crash. Tác động trực tiếp là làm gián đoạn hoạt động phân tích mạng, ảnh hưởng đến các hệ thống giám sát phụ thuộc vào Wireshark.

Điều kiện kích hoạt

Lỗ hổng này không yêu cầu khai thác phức tạp ở mức logic ứng dụng. Chỉ cần cung cấp dữ liệu packet malformed đủ để dissector ROHC xử lý sai là có thể gây lỗi. Trong bối cảnh phát hiện xâm nhập hoặc điều tra sự cố, việc mở các file capture từ nguồn không đáng tin cậy làm tăng nguy cơ bảo mật.

  • Vector tấn công: Gói tin malformed hoặc file .pcap crafted.
  • Tác động: Crash ứng dụng Wireshark.
  • Phạm vi ảnh hưởng: Phiên phân tích gói tin, môi trường monitoring, workstation của nhà phân tích.

CVE Nghiêm Trọng Khác: MACsec Dissector Buffer Overflow

Bên cạnh ROHC, bản cập nhật này còn sửa lỗi global-buffer-overflow trong MACsec dissector tại Issue 21235. Lỗi liên quan đến quá trình parsing lưu lượng được bảo vệ bởi IEEE 802.1AE, có thể gây rủi ro an toàn bộ nhớ khi Wireshark giải mã packet.

Hai lỗi này đã được phát hiện thông qua các chiến dịch fuzz testing vào tháng 5/2026. Dù bản vá tập trung vào độ ổn định của dissector, bản chất lỗi cho thấy bề mặt phân tích packet của Wireshark vẫn có thể bị tác động bởi dữ liệu đầu vào không tin cậy.

Mức độ ảnh hưởng đến hệ thống

Đối với môi trường sử dụng Wireshark để phân tích traffic từ nguồn ngoài, lỗi crash trong dissector có thể làm gián đoạn quá trình điều tra, dừng phiên phân tích và ảnh hưởng đến tính liên tục của an toàn thông tin. Với những hệ thống mở file capture từ nhiều nguồn, đây là một dạng cảnh báo CVE cần xử lý sớm bằng cập nhật bản vá.

Tin tức bảo mật Về Các Sửa Lỗi Ổn Định Trong Wireshark 4.6.6

Ngoài các bản vá bảo mật, Wireshark 4.6.6 còn xử lý nhiều lỗi có tác động cao tới độ ổn định và khả năng tương thích. Phiên bản này đi kèm Npcap 1.88, thay cho Npcap 1.87, nhằm cải thiện độ tin cậy của cơ chế bắt gói ở mức thấp trên Windows.

Bản phát hành không giới thiệu giao thức mới, nhưng cập nhật hỗ trợ dissector cho nhiều giao thức gồm BACapp, MACsec, ROHC, Kafka, SIP, PFCP, BPv7 và một số giao thức khác. Hỗ trợ định dạng file capture cũng được mở rộng cho JSONVeriWave.

Thay đổi đối với Unix

Trên hệ Unix, các binary extcap mặc định trỏ đến thư mục /usr/libexec/wireshark/extcap. Thay đổi này đã xuất hiện từ phiên bản 4.6.0 nhưng nay được ghi nhận chính thức trong bản phát hành 4.6.6.

Khuyến Nghị Cập Nhật Bản Vá Cho Wireshark 4.6.6

Những hệ thống dùng Wireshark trong production hoặc môi trường monitoring nên nâng cấp lên Wireshark 4.6.6 ngay, đặc biệt khi xử lý capture đến từ nguồn ngoài hoặc chưa được kiểm chứng. Lỗi ROHC dissector crash có thể gây gián đoạn quy trình phân tích, nhất là trong các pipeline liên quan đến phát hiện tấn công và điều tra sự cố.

Thông tin tải xuống và ghi chú phát hành có thể tham khảo trực tiếp tại trang chính thức của Wireshark: https://www.wireshark.org/. Với các đội vận hành an ninh mạng, việc kiểm tra phiên bản cài đặt và xác nhận đã áp dụng update vá lỗi là bước cần thực hiện sớm.

IOC

  • Issue 21243: ROHC dissector crash vulnerability.
  • Issue 21235: MACsec dissector global-buffer-overflow.
  • wnpa-sec-2026-51: Mã định danh lỗi bảo mật đã xác nhận.
  • .pcap: Tệp capture có thể chứa payload crafted dùng để kích hoạt lỗi.
  • Malformed packet: Gói tin bị chỉnh sửa sai định dạng.

Trạng Thái Kỹ Thuật Của Bản Vá

  • Phiên bản ảnh hưởng: Các bản Wireshark trước 4.6.6.
  • Phiên bản đã khắc phục: Wireshark 4.6.6.
  • Loại lỗi: Crash trong dissector, buffer overflow.
  • Khả năng khai thác: Thông qua dữ liệu packet đầu vào được tạo đặc biệt.
  • Tác động: Làm gián đoạn phân tích lưu lượng và quy trình giám sát mạng.