Öz-özünə işləyən paketlər yaratmaq üçün alətlər dəsti olan Flatpak 1.10.2-yə düzəliş yeniləməsi artıq mövcuddur. Bu yeniləmə, tətbiq paketi müəllifinə sandbox izolyasiyasını keçməyə və ana sistemdəki fayllara daxil olmağa imkan verən zəifliyi (CVE-2021-21381) düzəldir. Problem 0.9.4 buraxılışından bəri mövcuddur.
Zəiflik, fayl yönləndirmə funksiyasındakı bir xətadan qaynaqlanır və bu xəta, .desktop faylının manipulyasiya edilməsinə və işləyən tətbiqin daxil olması qadağan olan xarici fayl sistemindəki resurslara daxil olmasına imkan verir. Exec sahəsinə "@@" və "@@u" etiketləri olan faylları əlavə edərkən, flatpak, göstərilən hədəf fayllarının istifadəçi tərəfindən açıq şəkildə göstərildiyini fərz edir və bu fayllara girişi avtomatik olaraq sandbox-a yönləndirir. Bu zəiflik, sandbox rejimində işlədiyinə baxmayaraq, zərərli paket müəllifləri tərəfindən xarici fayllara daxil olmaq üçün istifadə edilə bilər.
Mənbə: opennet.ru
