'n Regstellende opdatering van die gereedskapstel vir die skep van selfstandige pakkette Flatpak 1.10.2 is beskikbaar, wat 'n kwesbaarheid uitskakel (CVE-2021-21381) wat die outeur van 'n pakket met 'n toepassing toelaat om die sandbox-isolasiemodus te omseil en toegang te verkry tot lêers op die hoofstelsel. Die probleem verskyn sedert vrystelling 0.9.4.
Die kwesbaarheid word veroorsaak deur 'n fout in die implementering van die lêeraanstuurfunksie, wat dit moontlik maak om, deur manipulasie van 'n .desktop-lêer, toegang te verkry tot hulpbronne in 'n eksterne lêerstelsel wat verbied word om deur die lopende toepassing toegang te verkry. Wanneer lêers met die merkers "@@" en "@@u" in die Exec-veld bygevoeg word, sal flatpak aanvaar dat die gespesifiseerde teikenlêers eksplisiet deur die gebruiker gespesifiseer is en sal outomaties toegang tot hierdie lêers in die sandbox kry. Die kwesbaarheid kan deur die outeurs van kwaadwillige pakkette gebruik word om toegang tot eksterne lêers te organiseer, ten spyte van die voorkoms dat dit in isolasiemodus loop.
Bron: opennet.ru