بين مجموعات مستخدمي برامج الضغط، غالبًا ما يكون هناك جدل بين WinRAR و7-Zip. ومع ذلك، فإن الثغرة الأمنية الأساسية التي تم الكشف عنها مؤخرًا قد وضعت جميع المستخدمين في أزمة في نفس الوقت. اكتشف كريس عزيز، الباحث في شركة الأمن السيبراني Bombadil Systems، وكشف ثغرة أمنية خطيرة تسمى "Zombie ZIP". في الوقت الحالي، لا يستطيع أي من محركات مكافحة الفيروسات الرئيسية الخمسين الموجودة على VirusTotal التعرف على ملفات ZIP التي بها مشكلات.
تستغل مشكلة عدم الحصانة هذه العيوب الموجودة في المنطق الأساسي للملفات المضغوطة. بغض النظر عن أداة إلغاء الضغط التي يستخدمها المستخدم، طالما تم فتح حزمة ZIP ضارة تم العبث بها بشكل خاص وتم النقر فوق الملفات الموجودة فيها، يمكن للمتسلل تنفيذ التعليمات البرمجية والسيطرة على النظام.
يكمن جوهر هذه الثغرة الأمنية في تزوير رؤوس ملفات ZIP. تشير الأبحاث إلى أن معظم محركات مكافحة الفيروسات تثق بشكل أعمى في حقل "الطريقة" (طريقة الضغط) في الحزم المضغوطة عند فحصها.
قام المتسلل بضبط هذا الحقل عمدًا على 0، وهو ما يمثل حالة عدم الضغط، مما دفع محرك مكافحة الفيروسات إلى الاعتقاد بأن الملف موجود في وضع التخزين الأصلي وتخطي فحص إلغاء الضغط. تتم قراءة مجموعة من "ضجيج الضغط" المربك فقط، ولا يمكن التعرف على توقيع البرنامج الضار على الإطلاق.
في الوقت نفسه، استهدف المتسللون آليات الإبلاغ عن الأخطاء في WinRAR و7-Zip وأدوات أخرى عن طريق تعيين قيمة فحص CRC عمدًا على القيمة في الحالة غير المضغوطة، ولكنهم قاموا بتضمين محمل خوارزمية DEFLATE مخصص في ملف ZIP، مما تسبب في قيام أداة إلغاء الضغط بتجاهل رأس الملف المزور مباشرة وتحرير التعليمات البرمجية الضارة المخفية.
تحقق طريقة الخداع المزدوج هذه تأثيرًا خفيًا شبه مثالي. يخطئ برنامج مكافحة الفيروسات في تقدير أن الملف آمن، وتقوم أداة إلغاء الضغط بإصدار البرنامج الضار بشكل طبيعي، وينقر المستخدم لتنفيذه ويتم خداعه.
قام مركز تنسيق فريق الاستجابة لطوارئ الكمبيوتر (CERT/CC) بتعيين رقم CVE-2026-0866 للثغرة الأمنية، مشيرًا إلى أنها تشبه إلى حد كبير الثغرة الأمنية CVE-2004-0935 التي أثرت على برنامج مكافحة الفيروسات ESET المبكر منذ أكثر من 20 عامًا.
يحذر CERT/CC من أن محركات مكافحة الفيروسات لا ينبغي أن تثق بشكل أعمى في رأس الطريقة لملفات ZIP ويجب أن تتحقق من حقل الضغط مع البيانات الفعلية وإضافة آلية لتحديد الحزم المضغوطة ذات البنية غير الطبيعية.
قبل أن تقوم الشركة المصنعة بإصدار التصحيح، يجب على المستخدمين توخي الحذر الشديد عند التعامل مع ملفات ZIP مجهولة المصدر، وعدم النقر على أي ملفات بداخلها بسهولة.