‌严峻宁静缝隙“僵尸ZIP”暴光，支流杀毒软件全数沦亡‌

　　宁静研讨职员克日表露了一个代号为“僵尸ZIP”(Zombie ZIP)的严峻宁静缝隙。收集宁静公司Bombadil Systems研讨员Chris Aziz发明该缝隙后宣布预警，以后支流的50款防病毒引擎均没法辨认操纵该缝隙的歹意ZIP文件。

　　其进犯道理是，黑客窜改ZIP紧缩包的格局标头。绝大大都防毒软件在扫描时会间接采信紧缩包的“Method”字段。进犯者将此字段设为“0”，即代表文件未紧缩。此举误导杀毒引擎，使其误觉得紧缩包内仅包罗原始文件，因无需深度解压而跳过检测，仅读取到一堆没法剖析的“紧缩乐音”，从而让躲藏的歹意代码躲过扫描。

　　与此同时，针对WinRAR、7-Zip等解压东西，黑客居心设定了捏造的CRC校验值。该数值合适未紧缩状况下数据应有的校验成果，但ZIP文件里实际封装了操纵自界说DEFLATE紧缩算法的歹意法式加载器。当解压软件运转碰到格局或CRC校验毛病时，因为编程逻辑会轻忽头部毛病数据而测验考试修复，凡是会延续解压后续的一般内容，终究将歹意法式胜利开释到用户电脑上。

　　这类在解压前息争压后别离棍骗杀毒软件和剖析东西的手段，构成一个完全的歹意链条。杀毒引擎被头文件利诱、错判宁静性，而用户的解紧缩软件又会履行加载并开释内藏的病毒，全部进程构成两重盲点。一旦用户不慎履行开释出的文件，体系节制权便可以也许易手。

　　CERT/CC已将这一缝隙辨认为CVE-2026-0866，并指出它与多年前的CVE-2004-0935存在类似性，焦点都是杀毒引擎对文件头部信息检查缺乏致使的。官方警示称，提防这类进犯必须依托厂商进级补丁，改良逻辑以同时考证紧缩字段与实际文件内容是不是婚配。

　　在缝隙补丁推出前，专家倡议一切用户防止翻开来历不明的ZIP紧缩包，特别警戒内含的可履行文件。这次事件提示用户需对未知来历的紧缩包坚持高度警悟，这也是环球一切操纵ZIP格局的用户面对的配合危险。