Zombie ZIP 漏洞說明

近期資安研究揭露「Zombie ZIP」漏洞，攻擊者利用壓縮檔格式的設計特性進行操作，使防毒與資安工具在解析檔案時出現判讀落差，進而無法正確識別其中潛藏的惡意程式。

對企業而言，這代表威脅正在轉變。風險除了來自尚未修補的漏洞，還有對既有標準與機制的過度信任。壓縮檔長期被視為安全且常見的資料交換方式，廣泛應用在郵件附件、系統傳輸與備份流程中。一旦這類基礎格式被攻擊者利用，其影響範圍將迅速擴大，甚至滲透至組織核心環境。

漏洞說明

Zombie ZIP（CVE-2026-0866）的核心問題在於壓縮檔標頭與實際內容不一致。攻擊者會將 ZIP 檔案的壓縮方法標示為 STORED，也就是未壓縮，但實際內容卻是經過 DEFLATE 壓縮。這種刻意錯置，會讓多數安全工具誤判。

許多防毒與端點防護系統在掃描壓縮檔時，會優先相信檔案標頭資訊，以節省運算資源。當系統看到 STORED，就會直接以未壓縮資料進行掃描。然而實際內容是壓縮資料，因此掃描結果只會看到無意義的資料片段，導致惡意程式成功躲避偵測。

相關漏洞整體風險評估

• CVE-2026-0866

可繞過九成以上的主流防毒引擎，顯示其實際風險已達高威脅等級。這類問題的嚴重性，不在於系統被直接入侵，而在於安全機制被誤導，進而失去防護效果。

另一個值得注意的特徵是，這類 ZIP 檔案在一般解壓縮工具中，常會出現錯誤訊息，例如檔案損毀或不支援的格式。這並非檔案本身損壞，而是工具依據錯誤標頭進行解析所導致。攻擊者則可透過自製程式，繞過這些限制，正確解壓並執行其中的惡意內容。

建議措施

這類漏洞並沒有傳統意義上的修補程式，因為問題並不在單一軟體，而是來自壓縮檔格式本身的設計特性。換句話說，就算更新系統或套件，也無法完全避免這種手法被利用。因此，重點在於調整使用與防護方式。

首先，最簡單的原則是避免開啟來源不明的壓縮檔。特別是當解壓縮時出現錯誤訊息，例如檔案損毀或格式不支援時，不應嘗試用其他工具強行開啟，建議直接刪除。

其次，在企業環境中，可以先從入口控管做起。像是郵件閘道或下載管道，針對異常的 ZIP 檔進行阻擋或標記，而不是完全信任防毒掃描結果。

最後，資安策略上應避免只依賴單一偵測方式。即使防毒軟體顯示正常，也不代表檔案安全。透過行為監控或沙箱分析，可以補足這類繞過偵測的風險。