Wireshark 4.6.4 corrige vulnerabilidades críticas y fallos de estabilidad: actualización urgente para entornos de análisis de red

Published:

La Wireshark Foundation ha publicado Wireshark 4.6.4, una actualización de mantenimiento que corrige múltiples vulnerabilidades de seguridad y mejora significativamente la estabilidad del analizador de protocolos más utilizado en entornos de redes, ciberseguridad y troubleshooting avanzado. Esta versión soluciona fallos que podían provocar agotamiento de memoria, crashes y degradación de rendimiento, por lo que la actualización es altamente recomendada en entornos productivos y de laboratorio.


¿Qué es Wireshark y por qué esta actualización es relevante?

Wireshark es un analizador de protocolos de red open source utilizado por administradores de sistemas, ingenieros de redes, analistas SOC y desarrolladores para inspeccionar tráfico en tiempo real o a partir de capturas (pcap/pcapng).

En entornos corporativos, Wireshark no solo se utiliza para diagnóstico, sino también para:

  • Análisis forense de incidentes.

  • Validación de implementaciones de protocolos.

  • Troubleshooting avanzado de aplicaciones.

  • Educación y laboratorio de redes.

Por ello, cualquier vulnerabilidad en sus dissectors puede convertirse en un vector de denegación de servicio (DoS) local.


Vulnerabilidades corregidas (CVE-2026-3201, CVE-2026-3202, CVE-2026-3203)

La versión 4.6.4 corrige tres fallos de seguridad importantes:

Vulnerabilidad

Descripción técnica

Impacto

CVE-2026-3201

Agotamiento de memoria en el dissector USB HID

Posible DoS por consumo excesivo de memoria al procesar paquetes malformados

CVE-2026-3202

Crash en dissector NTS-KE

Cierre inesperado al analizar tráfico Network Time Security Key Establishment

CVE-2026-3203

Crash en dissector RF4CE

Fallo al procesar tráfico Radio Frequency for Consumer Electronics

🔎 USB HID Memory Exhaustion

El fallo más relevante afecta al dissector USB HID (Human Interface Device). Un paquete especialmente manipulado podía provocar:

  • Consumo progresivo de memoria.

  • Inestabilidad en sesiones largas.

  • Terminación inesperada del proceso.

En entornos donde se analizan capturas USB (por ejemplo, debugging de dispositivos embebidos o hardware), este problema podía generar interrupciones críticas.


Mejora clave de rendimiento: corrección en “Expert Info”

Uno de los cambios más importantes a nivel técnico es la corrección de un problema de degradación cuadrática en el sistema Expert Info.

Antes de 4.6.4:

  • A medida que aumentaba el volumen de tráfico analizado,

  • El procesamiento de eventos Expert Info se volvía progresivamente más lento,

  • Impactando sesiones extensas o análisis de archivos pcapng grandes.

Ahora:

  • Se elimina el comportamiento O(n²).

  • El rendimiento es estable en sesiones prolongadas.

Para equipos SOC y análisis forense de grandes capturas, esta mejora es especialmente significativa.


Correcciones en TShark, editcap y formatos de captura

TShark y editcap también recibieron fixes importantes:

  • Eliminados segmentation faults al exportar en formato BLF.

  • Corrección en la escritura inválida de bloques Darwin en pcapng.

  • Fix en opciones personalizadas de string en archivos pcapng.

  • Mejoras en soporte BLF y TTL capture.

Esto es particularmente relevante en pipelines automatizados donde se utiliza TShark en:

  • Scripts de análisis batch.

  • Integraciones CI/CD.

  • Procesamiento masivo de capturas.


Protocolos afectados por correcciones

Aunque no se agregaron nuevos protocolos, se actualizaron múltiples dissectors:

  • Art-Net (PollReply decoding)

  • BGP

  • IEEE 802.11

  • IPv6

  • ISAKMP

  • MySQL

  • NAS-5GS

  • SOCKS

  • USB HID

  • TDS (desincronización en RPC)

  • Zigbee Direct Tunneling (crash detectado por fuzzing)

Esto mejora la precisión del análisis y reduce falsos “Malformed Packet”.


Problema resuelto con Npcap en Windows

En sistemas Windows, Wireshark podía fallar al iniciar si:

Npcap estaba configurado con la opción:

“Restrict Npcap driver’s access to Administrators only”

Ese problema ha sido corregido, lo que mejora la compatibilidad en entornos empresariales con políticas de seguridad estrictas.


Cómo actualizar a Wireshark 4.6.4

Se recomienda actualizar inmediatamente.

En Linux

Dependiendo de la distribución:

# Debian / Ubuntu
sudo apt update
sudo apt install wireshark
# RHEL / Rocky / Alma
sudo dnf update wireshark

Si necesitas la versión más reciente y tu repositorio aún no la ofrece, puedes descargar el paquete oficial desde el sitio del proyecto.

En Windows y macOS

Descargar directamente desde el sitio oficial:

https://www.wireshark.org/download.html


Recomendaciones para entornos profesionales

Si utilizas Wireshark en:

  • Laboratorios de red

  • Análisis forense

  • Entornos SOC

  • Investigación de protocolos

  • Desarrollo IoT o USB

Te recomiendo:

  1. Actualizar inmediatamente a 4.6.4.

  2. Validar integridad de tus herramientas CLI (TShark, editcap).

  3. Revisar scripts automatizados que generen BLF o pcapng.

  4. Documentar la actualización en tu inventario de herramientas de seguridad.

Las vulnerabilidades en herramientas de análisis suelen subestimarse, pero pueden convertirse en vectores de ataque en entornos compartidos.


Conclusión

Wireshark 4.6.4 no introduce nuevas funcionalidades, pero sí corrige vulnerabilidades críticas y mejora la estabilidad general del analizador. El fix del USB HID memory exhaustion y la corrección del problema de rendimiento en Expert Info hacen que esta versión sea una actualización obligatoria.

En entornos profesionales, mantener actualizado el stack de herramientas de análisis es tan importante como parchear servidores o appliances de red. Si trabajas en seguridad, redes o SRE, esta actualización no debería postergarse.

- Advertisement -
Jorge
Jorgehttps://nksistemas.com
Soy Jorge, Sr Sysadmin Linux/DevOps/SRE y creador de NKSistemas.com Trabajo con plataformas: Linux, Windows, AWS, GCP, VMware, Helm, kubernetes, Docker, etc.

Related articles