Elérhető az önálló csomagok létrehozására szolgáló eszközkészlet javító frissítése, a Flatpak 1.10.2, amely kiküszöböl egy biztonsági rést (CVE-2021-21381), amely lehetővé teszi az alkalmazást tartalmazó csomag szerzője számára, hogy megkerülje a sandbox elkülönítési módot, és hozzáférjen a fájlokat a fő rendszeren. A probléma a 0.9.4-es kiadás óta jelentkezik.
A sérülékenységet a fájltovábbítási funkció megvalósításának hibája okozza, amely lehetővé teszi, hogy egy .desktop fájl manipulációjával hozzáférjen egy külső fájlrendszerben lévő olyan erőforrásokhoz, amelyekhez a futó alkalmazás nem fér hozzá. Amikor a "@@" és "@@u" címkével rendelkező fájlokat ad hozzá az Exec mezőhöz, a flatpak azt feltételezi, hogy a megadott célfájlokat a felhasználó kifejezetten megadta, és automatikusan homokozóban hozzáférhet ezekhez a fájlokhoz. A sérülékenységet a rosszindulatú csomagok szerzői felhasználhatják külső fájlokhoz való hozzáférés megszervezésére, annak ellenére, hogy az elszigetelt módban fut.
Forrás: opennet.ru