Dostupno je korektivno ažuriranje skupa alata za izradu samostalnih paketa Flatpak 1.10.2, koje uklanja ranjivost (CVE-2021-21381) koja autoru paketa s aplikacijom omogućuje zaobilaženje izolacijskog moda sandboxa i dobivanje pristupa datoteke na glavnom sustavu. Problem se javlja od izdanja 0.9.4.
Ranjivost je uzrokovana pogreškom u implementaciji funkcije prosljeđivanja datoteke, koja omogućuje, kroz manipulaciju .desktop datoteke, pristup resursima u vanjskom datotečnom sustavu kojima je zabranjen pristup pokrenutoj aplikaciji. Prilikom dodavanja datoteka s oznakama "@@" i "@@u" u polje Exec, flatpak će pretpostaviti da je navedene ciljne datoteke eksplicitno naveo korisnik i automatski će pristupiti tim datotekama u sandboxu. Ovu ranjivost mogu koristiti autori zlonamjernih paketa za organiziranje pristupa vanjskim datotekama, unatoč izgledu da radi u izoliranom načinu rada.
Izvor: opennet.ru