Hi ha disponible una actualització correctiva de l'eina d'embalatge autònoma Flatpak 1.10.2 que soluciona una vulnerabilitat (CVE-2021-21381) que podria permetre a l'autor d'un paquet amb una aplicació evitar la configuració d'aïllament de la caixa de proves i accedir als fitxers de el sistema host. El problema s'ha manifestat des de la versió 0.9.4.
La vulnerabilitat és causada per un error en la implementació de la funció de reenviament de fitxers, que permet, mitjançant la manipulació amb el fitxer .desktop, accedir a recursos del sistema de fitxers extern als quals no es permet l'accés a l'aplicació en execució. Quan afegiu fitxers amb etiquetes "@@" i "@@u" al camp Exec, flatpak suposarà que els fitxers de destinació especificats han estat especificats explícitament per l'usuari i reenviarà automàticament l'accés a aquests fitxers a la caixa de proves. Els autors de paquets maliciosos poden utilitzar la vulnerabilitat per proporcionar accés a fitxers externs, malgrat l'aparença d'executar-se en mode d'aïllament.
Font: opennet.ru