دو تن از کارشناسان حوزه‌ی امنیت سایبری به نام‌های الکساندر کلینک و تیموتی مورگان نگرانی خود را بابت یک نقطه‌ی کور موجود در بستر امنیت رایانه ابراز داشته‌اند؛ آن‌ها به وجود یک آسیب‌پذیری پی برده‌اند که به عقیده‌ی آن‌ها به‌این‌علت ظاهرشده است که جاوا نمی‌تواند دستور زبان مربوط به اسامی کاربری را در پروتکل FTP خود بررسی نماید. باوجوداین واقعیت که اتصال به کارگزارهای FTP را می‌توان با احراز هویت انجام داد، اما XML eXternal Entity یا XEE جاوا تعویض خط یا Line Feed و نیز بردن نشان‌گر به اول خط یا Carriage Return را بررسی نمی‌کند و به‌این‌ترتیب باعث پیدایش یک تهدید امنیتی می‌شود. به این صورت نفوذ گران می‌توانند به دستورات «user» یا «pass» خاتمه دهند، دستورات تازه‌ای را به جلسه‌ی کاری FTP تزریق کنند و از راه دور به کارگزارها وصل شوند تا رایانامه‌ی غیرمجازی را ارسال نمایند.
تزریق پروتکل FTP به کاربر اجازه می‌دهد تا دیوار آتش قربانی را به نحوی تغییر دهد که امکان اتصالات TCP از اینترنت به سامانه‌ی میزبان آسیب‌پذیر موجود روی هر پورت «بالا» (۱۰۲۴-۶۵۵۳۵) مهیا شود.
یک آسیب‌پذیری مشابه نیز در کتابخانه‌های urllib2 و urllib پایتون وجود دارد. در مورد جاوا، این حمله را می‌توان علیه کاربران دسکتاپ اجرا کرد، حتی اگر این کاربران دسکتاپ افزونه‌ی جاوای مرورگرشان را فعال نکرده باشند.
گفتنی است که به راه‌های مختلفی می‌توان از این آسیب‌پذیری سوءاستفاده کرد، نظیر پارس یا تجزیه‌ی پرونده‌های آلوده‌ی JNLP، راه‌اندازی حملات مردمیانی، یا شرکت در کمپین‌های جعل درخواست سمت کارگزار.

پاسخ‌هایی که به تعویق می‌افتند
شرکت‌های دست‌اندرکار هنوز نتوانسته‌اند این آسیب‌پذیری را اصلاح کنند، این در حالی است که تیم‌های امنیتی هر دو شرکت از این موضوع مطلع هستند. پایتون در ژانویه‌ی ۲۰۱۶ از موضوع باخبر شده است و اوراکل در نوامبر همان سال آگاه شده است؛ این تأخیر نشان می‌دهد که محققان چه مدت طولانی منتظر مانده و این آسیب‌پذیری را به‌طور عمومی افشاء نکرده‌اند.
می‌توان امیدوار بود که در حال حاضر که همه از مسئله خبر دارند دو شرکت مذکور همه‌ی تلاش خود را برای ارائه‌ی وصله به خرج دهند تا از موج حملات احتمالی علیه این اشکال خاص جلوگیری نمایند.
به عموم کاربران توصیه می‌شود که کاربران حالت کلاسیک FTP را به‌صورت پیش‌فرض غیرفعال نمایند.

منبع:
news.asis.io