本帖最后由 anyangmo 于 2026-3-11 17:48 编辑
ZIP压缩文件存严重漏洞!WinRAR、7-Zip无一幸免:50款主流杀软均被骗过
快科技3月11日消息,压缩软件用户群体中常有WinRAR与7-Zip的优劣之争,然而最近曝光的一项底层漏洞却让所有用户同时陷入危机。
网络安全公司Bombadil Systems的研究员Chris Aziz发现并曝光了一个名为“Zombie ZIP”的严重安全漏洞,目前VirusTotal上的50款主流杀毒引擎均无法识别此类有问题的ZIP文件。
该漏洞利用了压缩文件底层逻辑的缺陷,无论用户使用哪款解压缩工具,只要打开一个经过特殊篡改的恶意ZIP包并点击其中的文件,黑客便能执行代码并夺取系统控制权。
该漏洞的核心在于对ZIP文件标头的伪造,研究指出,大多数防毒引擎在扫描压缩包时会盲目信任其中的“Method”(压缩方式)字段。
黑客特意将该字段设为代表未压缩状态的0,诱导防毒引擎认为文件处于原始存储模式而跳过解压扫描,仅读取到一堆混乱的"压缩噪音",根本无法识别夹带的恶意程序特征码。
与此同时,黑客针对WinRAR、7-Zip等工具的报错机制,故意将CRC校验值设为未压缩状态下的数值,却在ZIP文件内内嵌入自定义DEFLATE算法加载器,令解压工具直接无视伪造的文件头,释放隐藏的恶意代码。
这种双重欺骗手法实现了近乎完美的隐身效果,杀毒软件误判文件安全,解压工具则正常释放恶意程序,用户点击执行即中招。
电脑紧急应变小组协调中心(CERT/CC)已为该漏洞分配编号CVE-2026-0866,并指出其与20多年前影响早期ESET杀毒软件的CVE-2004-0935漏洞高度相似。
CERT/CC警告,防毒引擎不应盲目信任ZIP文件的Method标头,必须将压缩栏位与实际资料进行交叉验证,并增设机制识别结构异常的压缩包。
在厂商发布补丁前,用户对待来历不明的ZIP文件需格外谨慎,切勿轻易点击内部任何文件。
| 
发表于 
