- Wireshark 4.6.6 ist am 19. Mai 2026 erschienen — Pflicht-Update für alle, die Pakete analysieren.
- Behoben: ROHC-Protokoll-Dissector-Crash und MACsec global-buffer-overflow.
- Windows-Installer-Probleme und mehrere fuzz-entdeckte Parser-Fehler ebenfalls gefixt.
- Update via wireshark.org oder Paketmanager — auf Linux meist als wireshark-cli oder tshark gleichzeitig drin.
Wireshark ist das Stethoskop jedes Netzwerk-Admins — und wenn das Stethoskop crashen kann, sobald ein präpariertes Paket reinläuft, hast du ein Problem. Version 4.6.6 stopft am 19. Mai 2026 mehrere Lücken, die Angreifer per manipulierter Capture-Datei oder Live-Traffic auslösen können.
Was wird gepatcht?
ROHC-Dissector-Crash: Robust Header Compression — typisch in Mobilfunk-Captures. Ein präpariertes Paket bringt Wireshark zum Absturz und kann unter Umständen Speicherinhalte leaken.
MACsec global-buffer-overflow: Wer einen MACsec-getaggten Trace öffnet, riskiert einen Out-of-Bounds-Write. In Worst-Case-Szenarien Code-Execution.
Windows-Regression: Der Installer hat in 4.6.5 unter Windows 11 stillschweigend abgebrochen. Auch Pflichtupdate, wenn du auf Windows analysierst.
Fuzz-Funde: Diverse Parser-Crashes, gefunden durch Continuous Fuzzing — alle in 4.6.6 nachgezogen.
Wer ist betroffen?
Praktisch jeder Wireshark-Nutzer. Besonders kritisch für SOCs, die fremde Captures als Evidence öffnen — eine bösartige Capture-Datei reicht für den Crash, theoretisch auch für Code-Execution. Forensik-Teams sollten umgehend updaten.
So updatest du JETZT
Linux (Ubuntu/Debian): sudo apt update && sudo apt install --only-upgrade wireshark tshark. Fedora: sudo dnf update wireshark. macOS: Brew-User brew upgrade wireshark, GUI-User die DMG von wireshark.org neu installieren. Windows: Neuen Installer von wireshark.org herunterladen — die Regression macht den Auto-Update-Pfad unzuverlässig.
Anschließend mit tshark -v verifizieren, dass die 4.6.6 läuft.
Was, wenn du nicht updaten kannst?
Verzichte temporär darauf, fremde .pcap- oder .pcapng-Dateien zu öffnen. Live-Traffic-Analyse ist nur sicher, wenn deine Capture-Quelle vertrauenswürdig ist. Wer in einem SOC arbeitet, sollte das Update zur Pflicht erklären.
Häufige Fragen
Welche Versionen sind betroffen?
Wireshark 4.6.0 bis 4.6.5. Ältere LTS-Reihen wie 4.4.x bekommen Backports — die jeweilige Distribution liefert die passenden Patches.
Wo lade ich Wireshark 4.6.6 herunter?
Offiziell auf wireshark.org/download. Niemals aus Drittquellen, weil Wireshark Root-Rechte für Capture-Funktionen braucht — eine kompromittierte Version wäre fatal.
Brauche ich für tshark einen separaten Update?
Nein, tshark wird mit dem Wireshark-Paket aktualisiert. Wer nur tshark im Container nutzt, sollte das Container-Image neu bauen.
Gilt das auch für Wireshark Portable?
Ja, die Portable-Version ist über dieselben Lücken angreifbar. Neue Portable-Variante von wireshark.org ziehen.