K dispozici je opravná aktualizace sady nástrojů pro vytváření samostatných balíčků Flatpak 1.10.2, která eliminuje zranitelnost (CVE-2021-21381), která umožňuje autorovi balíčku s aplikací obejít režim izolace sandboxu a získat přístup k soubory v hlavním systému. Problém se objevuje od vydání 0.9.4.
Zranitelnost je způsobena chybou v implementaci funkce předávání souborů, která umožňuje prostřednictvím manipulace se souborem .desktop přistupovat ke zdrojům v externím souborovém systému, ke kterým běžící aplikace nemá přístup. Při přidávání souborů se značkami "@@" a "@@u" v poli Exec bude flatpak předpokládat, že zadané cílové soubory byly explicitně specifikovány uživatelem, a automaticky k těmto souborům přistoupí v sandboxu. Tuto chybu zabezpečení mohou využít autoři škodlivých balíčků k organizaci přístupu k externím souborům, a to navzdory zdání, že běží v režimu izolace.
Zdroj: opennet.ru