Ang usa ka corrective update sa toolkit alang sa paghimo sa kaugalingon nga mga pakete nga Flatpak 1.10.2 anaa, nga nagwagtang sa usa ka kahuyang (CVE-2021-21381) nga nagtugot sa tagsulat sa usa ka pakete nga adunay aplikasyon sa paglaktaw sa sandbox isolation mode ug pag-access sa mga file sa main system. Ang problema nagpakita sukad sa pagpagawas sa 0.9.4.
Ang pagkahuyang tungod sa usa ka sayup sa pagpatuman sa function sa pagpasa sa file, nga nagpaposible, pinaagi sa pagmaniobra sa usa ka .desktop file, aron ma-access ang mga kapanguhaan sa usa ka eksternal nga sistema sa file nga gidid-an nga ma-access sa nagdagan nga aplikasyon. Kung magdugang og mga file nga adunay mga tag nga "@@" ug "@@u" sa Exec field, ang flatpak mag-isip nga ang gipiho nga target nga mga file tin-aw nga gipiho sa user ug awtomatik nga mag-sandbox sa pag-access niini nga mga file. Ang pagkahuyang mahimong magamit sa mga tagsulat sa malisyosong mga pakete aron maorganisar ang pag-access sa mga eksternal nga file, bisan pa sa dagway sa pagdagan sa isolation mode.
Source: opennet.ru