防毒失靈 WinRAR、7-Zip 無一幸免
【全中招 ... ⚠️】每次 WinRAR 或 7-Zip 出事,另一邊的粉絲總會出來幸災樂禍,但這次是 ZIP 壓縮檔底層的嚴重安全漏洞,無論你是用哪一家的解壓縮工具,只要一打開「被加料」的 ZIP 壓縮檔並點擊看似無害的檔案,黑客就能執行惡意程式碼並取得系統控制權。目前 VirusTotal 平台上 50 款防毒引擎均無法偵測出有問題的 ZIP 檔案。
該漏洞由網絡安全公司 Bombadil Systems 研究員 Chris Aziz 發現,並命名為「Zombie ZIP」漏洞。其技術原理是篡改 ZIP 檔案標頭,欺騙防毒軟件將壓縮資料視為未壓縮資料,並利用 WinRAR 或 7-Zip 等解壓工具的報錯行為,完全躲過防毒軟件的檢測,幾乎實現了完全的「隱身」。
Chris Aziz 指出,防毒引擎通常會盲目信任 ZIP 檔案的「Method」(壓縮方式)標頭。黑客會把壓縮檔 Method 欄位設為「0」,意味著檔案處於單純的 STORED 狀態並未壓縮,防毒引擎就不會嘗試解壓作掃描,但實際上檔案資料是採用 DEFLATE 演算法進行壓縮。
因此,防毒引擎讀到的只是一堆混亂的「壓縮噪音」,根本無法查出夾帶惡意程式碼的特徵碼,最終將其誤判為安全檔案。
然後,黑客再針對 WinRAR 或 7-Zip 等大部分解壓工具的行為,故意將解壓檔案的 CRC 校驗值設為未壓縮狀態下的校驗和,但 ZIP 檔內卻加入了自訂的 DEFLATE 演算法載入器,令解壓工具直接無視偽造的檔案頭,解壓並釋放出隱藏的惡意程式碼;用家一旦不小心點擊執行就會「中招」。
針對此嚴重威脅,電腦緊急應變小組協調中心(CERT/CC)昨日正式發布安全公告,並為該漏洞分配編號 CVE-2026-0866。該機構指出,這與二十多年前影響早期 ESET 防毒軟件的漏洞(CVE-2004-0935)高度相似。
CERT/CC 警告防毒引擎不能盲目信任 ZIP 檔案的「Method」標頭,必須將壓縮欄位與實際資料進行交叉驗證,並增加偵測機制以識別結構異常的壓縮包。
資料來源:
