Wireshark ได้เปิดตัว Wireshark เวอร์ชัน 4.6.6 เพื่อแก้ไขช่องโหว่ความปลอดภัยระดับ Critical ในส่วนของ ROHC protocol dissector ซึ่งอาจทำให้ผู้โจมตีสามารถทำให้แอปพลิเคชันหยุดทำงานได้ ด้วยการทำ Packet Injection หรือ Malformed Packet นอกจากนี้ การอัปเดตดังกล่าวยังช่วยแก้ไข Bug ด้านความเสถียร และความเข้ากันได้ของระบบมากกว่าสิบรายการที่ส่งผลกระทบต่อผู้ใช้งาน Windows
การออกแพตช์ด้านความปลอดภัยหลักในครั้งนี้ มุ่งเน้นไปที่หมายเลขภัยคุกคาม wnpa-sec-2026-51 หรือหมายเลขเคส Issue 21243 ซึ่งได้รับการยืนยันว่าเป็นช่องโหว่ที่ส่งผลให้ตัววิเคราะห์โปรโตคอลหยุดทำงาน โดยช่องโหว่นี้อยู่ในส่วนของ ROHC protocol dissector ซึ่งเป็นโมดูลที่มีหน้าที่แยกส่วน และวิเคราะห์ข้อมูลส่วน IP packet headers ที่ผ่านการ compressed มา
ด้วยการ injecting แพ็กเก็ตที่ดัดแปลงรูปแบบผิดปกติ เข้าไปในระบบรับข้อมูลแบบเรียลไทม์ หรือการส่งไฟล์ .pcap ที่ถูกสร้างขึ้นมาเป็นพิเศษ ผู้โจมตีสามารถทำให้ระบบเกิดการขัดข้อง และไม่สามารถทำงานต่อได้ ซึ่งจะส่งผลกระทบต่อกระบวนการวิเคราะห์เครือข่าย และอาจทำให้สภาพแวดล้อมของระบบเฝ้าระวังไม่เสถียรได้
นอกจากนี้ ยังมีการแก้ไขช่องโหว่ MACsec dissector global-buffer-overflow (Issue 21235) ซึ่งเป็นช่องโหว่ที่สร้างความเสี่ยงต่อความปลอดภัยของ Memory ในระหว่างการทำ Packet Parsing ของ Traffic ตามมาตรฐาน IEEE 802.1AE โดยช่องโหว่ทั้งสองรายการนี้ถูกตรวจพบจากการทดสอบด้วยวิธี fuzz testing ที่ดำเนินการไปเมื่อเดือนพฤษภาคม 2026
การแก้ไขข้อผิดพลาด และการปรับปรุงความเสถียรของระบบ
นอกเหนือจากการออกแพตช์ความปลอดภัยแล้ว Wireshark เวอร์ชัน 4.6.6 ยังแก้ไขข้อผิดพลาดที่มีผลกระทบสูงหลายประการ ดังนี้:
- ปัญหา Windows ขัดข้องขณะใช้งาน Visual Studio (Work Item 24787) : ปัญหาที่เกิดขึ้นในสภาพแวดล้อมการพัฒนาได้รับการแก้ไขแล้ว
- ปัญหาการอ่านค่าหน่วยความจำที่ยังไม่ได้กำหนดค่าเริ่มต้น : ในฟังก์ชัน pntoh16 และ find_signature ภายในระบบอ่านไฟล์ของ VeriWave (vwr) (Issue 16460, 16461)
- ปัญหาด้านการรองรับระบบปฏิบัติการ Windows 10 v1809 : ก่อนหน้านี้ Wireshark 4.6.5 ไม่สามารถเปิดใช้งานได้บน Windows 10 เวอร์ชัน 1809, Windows Server 2019 และ Windows เวอร์ชัน LTSC บางรุ่นได้ (Issue 21237)
- ปัญหาฟังก์ชันเสริมถูกลบอัตโนมัติขณะอัปเดตบน Windows : เกิดขึ้นในกรณีที่ผู้ใช้ไม่ได้กดเลือก Optional Features เหล่านั้นเอาไว้ (Issue 18925)
- ขนาดไฟล์โปรแกรมใหญ่เกินไป : ตัวไฟล์ Wireshark.exe ในเวอร์ชัน 4.6.5 มีขนาดใหญ่กว่าเวอร์ชัน 4.6.4 ถึงสองเท่า ซึ่งเกิดจากความผิดพลาดในขั้นตอนการ package ไฟล์ (Issue 21233)
- ปัญหาระบบล่ม 2 กรณีจากการทดสอบ fuzz testing : ซึ่งตรวจพบจาก capture files ในเดือนพฤษภาคม 2026 (Issue 21240, 21253)
การอัปเกรดระบบหลังบ้าน และการรองรับโปรโตคอล
- เวอร์ชันนี้มาพร้อมกับ Npcap 1.88 ซึ่งมาแทนที่ Npcap 1.87 ที่เคยรวมมากับเวอร์ชันก่อนหน้า ช่วยเพิ่มความเสถียร และความน่าเชื่อถือในการรับข้อมูลแพ็กเก็ตระดับ Low-level บน Windows
- ไม่มีการเพิ่มโปรโตคอลใหม่ : แต่มีการอัปเดตระบบ Dissector ให้รองรับโปรโตคอลเดิมได้ดีขึ้น ซึ่งครอบคลุมถึง BACapp, MACsec, ROHC, Kafka, SIP, PFCP, BPv7 และอื่น ๆ อีกหลายรายการ รวมถึงมีการอัปเดตการรองรับ Capture file ในรูปแบบ JSON และ VeriWave
- สำหรับบนระบบปฏิบัติการ UNIX ในปัจจุบัน ไฟล์ไบนารีของ extcap จะถูกกำหนดเก็บไว้ที่ไดเรกทอรี /usr/libexec/wireshark/extcap เป็นค่าเริ่มต้น : ซึ่งการเปลี่ยนแปลงนี้เริ่มใช้ตั้งแต่เวอร์ชัน 4.6.0 แต่ได้รับการบันทึกอย่างเป็นทางการในเวอร์ชันนี้
คำแนะนำสำหรับผู้ดูแลระบบ
ทีมรักษาความปลอดภัย และนักวิเคราะห์ระบบเครือข่ายที่ใช้งาน Wireshark ในระบบงานจริง หรือในระบบเฝ้าระวัง ควรอัปเดตเป็นเวอร์ชัน 4.6.6 ในทันที โดยเฉพาะอย่างยิ่งเมื่อพิจารณาถึงความเสี่ยงที่ตัวถอดรหัสโปรโตคอล ROHC จะหยุดทำงานในสภาพแวดล้อมที่มีการประมวลผล Capture file ข้อมูลจากภายนอก หรือแหล่งที่ไม่น่าเชื่อถือ ทั้งนี้ สามารถดาวน์โหลดโปรแกรมเวอร์ชันใหม่ได้ที่เว็บไซต์ Wireshark
ที่มา: cybersecuritynews
You must be logged in to post a comment.