Onder gebruikersgroepen van compressiesoftware is er vaak een discussie tussen WinRAR en 7-Zip. Een recentelijk blootgelegde onderliggende kwetsbaarheid heeft echter alle gebruikers tegelijkertijd in een crisis gebracht. Chris Aziz, een onderzoeker bij het cyberbeveiligingsbedrijf Bombadil Systems, heeft een ernstig beveiligingsprobleem ontdekt en blootgelegd, genaamd "Zombie ZIP". Momenteel kan geen van de 50 reguliere antivirusprogramma's op VirusTotal dergelijke problematische ZIP-bestanden herkennen.

Dit beveiligingslek maakt misbruik van fouten in de onderliggende logica van gecomprimeerde bestanden. Ongeacht welke decompressietool de gebruiker gebruikt, zolang een speciaal geknoeid kwaadaardig ZIP-pakket wordt geopend en op de bestanden daarin wordt geklikt, kan de hacker de code uitvoeren en de controle over het systeem overnemen.

De kern van dit beveiligingslek ligt in het vervalsen van ZIP-bestandskoppen. Onderzoek wijst uit dat de meeste antivirusprogramma's blindelings vertrouwen op het veld "Methode" (compressiemethode) in gecomprimeerde pakketten wanneer ze deze scannen.

De hacker heeft dit veld opzettelijk op 0 gezet, wat de ongecomprimeerde status vertegenwoordigt, waardoor de antivirusengine denkt dat het bestand zich in de oorspronkelijke opslagmodus bevindt en de decompressiescan overslaat. Er wordt alleen een hoop verwarrende "compressieruis" gelezen, en de meegevoerde handtekening van het kwaadaardige programma kan helemaal niet worden geïdentificeerd.

Tegelijkertijd richtten hackers zich op de foutrapportagemechanismen van WinRAR, 7-Zip en andere tools door opzettelijk de CRC-controlewaarde in te stellen op de waarde in de niet-gecomprimeerde staat, maar een aangepaste DEFLATE-algoritmelader in het ZIP-bestand in te sluiten, waardoor de decompressietool de vervalste bestandsheader direct negeerde en de verborgen kwaadaardige code vrijgaf.

Deze dubbele misleidingsmethode bereikt een bijna perfect stealth-effect. De antivirussoftware oordeelt ten onrechte dat het bestand veilig is, en de decompressietool geeft het kwaadaardige programma normaal vrij, waarna de gebruiker klikt om het uit te voeren en wordt misleid.

Het Computer Emergency Response Team Coördinatiecentrum (CERT/CC) heeft de kwetsbaarheid het nummer CVE-2026-0866 toegekend en opgemerkt dat deze sterk lijkt op de CVE-2004-0935 kwetsbaarheid die vroege ESET-antivirussoftware meer dan 20 jaar geleden trof.

CERT/CC waarschuwt dat antivirusengines de Method-header van ZIP-bestanden niet blindelings moeten vertrouwen en het compressieveld moeten verifiëren met de daadwerkelijke gegevens en een mechanisme moeten toevoegen om gecomprimeerde pakketten met een abnormale structuur te identificeren.

Voordat de fabrikant een patch uitbrengt, moeten gebruikers uiterst voorzichtig zijn als ze omgaan met ZIP-bestanden van onbekende oorsprong, en niet gemakkelijk op de bestanden erin klikken.