ZIP压缩文件存严重漏洞！50款主流杀软均被骗过

压缩软件用户群体中常有WinRAR与7-Zip的压严重优劣之争，然而最近曝光的缩文一项底层漏洞却让所有用户同时陷入危机。

网络安全公司Bombadil Systems的漏洞流杀研究员Chris Aziz发现并曝光了一个名为“Zombie ZIP”的严重安全漏洞，目前VirusTotal上的款主50款主流杀毒引擎均无法识别此类有问题的ZIP文件。

该漏洞利用了压缩文件底层逻辑的软均缺陷，无论用户使用哪款解压缩工具，被骗只要打开一个经过特殊篡改的压严重恶意ZIP包并点击其中的文件，黑客便能执行代码并夺取系统控制权。缩文

该漏洞的漏洞流杀核心在于对ZIP文件标头的伪造，研究指出，款主大多数防毒引擎在扫描压缩包时会盲目信任其中的软均“Method”（压缩方式）字段。

黑客特意将该字段设为代表未压缩状态的被骗0，诱导防毒引擎认为文件处于原始存储模式而跳过解压扫描，压严重仅读取到一堆混乱的缩文"压缩噪音"，根本无法识别夹带的漏洞流杀恶意程序特征码。

与此同时，黑客针对WinRAR、7-Zip等工具的报错机制，故意将CRC校验值设为未压缩状态下的数值，却在ZIP文件内内嵌入自定义DEFLATE算法加载器，令解压工具直接无视伪造的文件头，释放隐藏的恶意代码。

这种双重欺骗手法实现了近乎完美的隐身效果，杀毒软件误判文件安全，解压工具则正常释放恶意程序，用户点击执行即中招。

电脑紧急应变小组协调中心（CERT/CC）已为该漏洞分配编号CVE-2026-0866，并指出其与20多年前影响早期ESET杀毒软件的CVE-2004-0935漏洞高度相似。

CERT/CC警告，防毒引擎不应盲目信任ZIP文件的Method标头，必须将压缩栏位与实际资料进行交叉验证，并增设机制识别结构异常的压缩包。

在厂商发布补丁前，用户对待来历不明的ZIP文件需格外谨慎，切勿轻易点击内部任何文件。

本文地址：http://lsof.kzlpkr.cn/html/32d43199536.html