Estas disponebla korekta ĝisdatigo de la ilaro por krei memstarajn pakaĵojn Flatpak 1.10.2, kiu forigas vundeblecon (CVE-2021-21381), kiu permesas al la aŭtoro de pakaĵo kun aplikaĵo preteriri la sablokestan izolan reĝimon kaj akiri aliron al dosieroj sur la ĉefa sistemo. La problemo aperis ekde la eldono 0.9.4.
La vundebleco estas kaŭzita de eraro en la efektivigo de la dosiera plusendado-funkcio, kiu ebligas, per manipulado de .desktop-dosiero, aliri rimedojn en ekstera dosiersistemo, kiuj estas malpermesitaj alireblaj de la funkcianta aplikaĵo. Aldonante dosierojn kun la etikedoj "@@" kaj "@@u" en la kampo Exec, flatpak supozos, ke la specifitaj celdosieroj estis eksplicite specifitaj de la uzanto kaj aŭtomate aliro al ĉi tiuj dosieroj. La vundebleco povas esti uzata de la aŭtoroj de malicaj pakaĵoj por organizi aliron al eksteraj dosieroj, malgraŭ la aspekto de funkciado en izolita reĝimo.
fonto: opennet.ru