Une mise à jour corrective de la boîte à outils de création de packages autonomes Flatpak 1.10.2 est disponible, qui élimine une vulnérabilité (CVE-2021-21381) qui permet à l'auteur d'un package avec une application de contourner le mode d'isolation sandbox et d'accéder à fichiers sur le système principal. Le problème apparaît depuis la version 0.9.4.
La vulnérabilité est causée par une erreur dans l'implémentation de la fonction de transfert de fichiers, qui permet, via la manipulation d'un fichier .desktop, d'accéder à des ressources d'un système de fichiers externe dont l'accès est interdit à l'application en cours d'exécution. Lors de l'ajout de fichiers avec les balises "@@" et "@@u" dans le champ Exec, flatpak supposera que les fichiers cibles spécifiés ont été explicitement spécifiés par l'utilisateur et accédera automatiquement à ces fichiers en sandbox. La vulnérabilité peut être utilisée par les auteurs de packages malveillants pour organiser l'accès à des fichiers externes, malgré l'apparence d'un fonctionnement en mode isolation.
Source: opennet.ru