Una aghjurnazione currettiva à l'attrezzamentu di imballaggio autònumu Flatpak 1.10.2 hè dispunibule chì corregge una vulnerabilità (CVE-2021-21381) chì puderia permette à l'autore di un pacchettu cù una applicazione per aggira u modu di isolamentu sandbox stabilitu è accede à i fugliali. nantu à u sistema host. U prublema hè manifestatu da a versione 0.9.4.
A vulnerabilità hè causata da un errore in l'implementazione di a funzione di rinviu di u schedariu, chì permette, per mezu di a manipulazione di u schedariu .desktop, accede à e risorse in u sistema di fugliale esternu chì ùn sò micca permessi di accede à l'applicazione in esecuzione. Quandu aghjunghjenu i fugliali cù tag "@@" è "@@u" in u campu Exec, flatpak assumerà chì i fugliali di destinazione specificati sò stati esplicitamente specificati da l'utilizatore è trasmette automaticamente l'accessu à questi schedari à u sandbox. A vulnerabilità pò esse aduprata da l'autori di pacchetti maliziusi per furnisce l'accessu à i fugliali esterni, malgradu l'apparizione di correre in modu isolatu.
Source: opennet.ru