安全研究人員近日披露了一個(gè)代號(hào)為“僵尸ZIP”(Zombie ZIP)的重大安全漏洞。網(wǎng)絡(luò)安全公司Bombadil Systems研究員Chris Aziz發(fā)現(xiàn)該漏洞后發(fā)布預(yù)警，當(dāng)前主流的50款防病毒引擎均無(wú)法識(shí)別利用該漏洞的惡意ZIP文件。

　　其攻擊原理是，黑客篡改ZIP壓縮包的格式標(biāo)頭。絕大多數(shù)防毒軟件在掃描時(shí)會(huì)直接采信壓縮包的“Method”字段。攻擊者將此字段設(shè)為“0”，即代表文件未壓縮。此舉誤導(dǎo)殺毒引擎，使其誤以為壓縮包內(nèi)僅包含原始文件，因無(wú)需深度解壓而跳過檢測(cè)，僅讀取到一堆無(wú)法解析的“壓縮噪音”，從而讓潛藏的惡意代碼躲過掃描。

　　與此同時(shí)，針對(duì)WinRAR、7-Zip等解壓工具，黑客故意設(shè)定了偽造的CRC校驗(yàn)值。該數(shù)值符合未壓縮狀態(tài)下數(shù)據(jù)應(yīng)有的校驗(yàn)結(jié)果，但ZIP文件里實(shí)際封裝了使用自定義DEFLATE壓縮算法的惡意程序加載器。當(dāng)解壓軟件運(yùn)行遇到格式或CRC校驗(yàn)錯(cuò)誤時(shí)，由于編程邏輯會(huì)忽視頭部錯(cuò)誤數(shù)據(jù)而嘗試修復(fù)，通常會(huì)繼續(xù)解壓后續(xù)的正常內(nèi)容，最終將惡意程序成功釋放到用戶電腦上。

　　這種在解壓前和解壓后分別欺騙殺毒軟件和解析工具的手法，形成一個(gè)完整的惡意鏈條。殺毒引擎被頭文件迷惑、錯(cuò)判安全性，而用戶的解壓縮軟件又會(huì)執(zhí)行加載并釋放內(nèi)藏的病毒，整個(gè)過程形成雙重盲點(diǎn)。一旦用戶不慎執(zhí)行釋放出的文件，系統(tǒng)控制權(quán)便可能易手。

　　CERT/CC已將這一漏洞識(shí)別為CVE-2026-0866，并指出它與多年前的CVE-2004-0935存在相似性，核心都是殺毒引擎對(duì)文件頭部信息審查不足導(dǎo)致的。官方警示稱，防范這種攻擊必須依靠廠商升級(jí)補(bǔ)丁，改進(jìn)邏輯以同時(shí)驗(yàn)證壓縮字段與實(shí)際文件內(nèi)容是否匹配。

　　在漏洞補(bǔ)丁推出前，專家建議所有用戶避免打開來歷不明的ZIP壓縮包，尤其警惕內(nèi)含的可執(zhí)行文件。此次事件提醒用戶需對(duì)未知來源的壓縮包保持高度警覺，這也是全球所有使用ZIP格式的用戶面臨的共同風(fēng)險(xiǎn)。