Tersedia pembaruan korektif pada alat pengemasan mandiri Flatpak 1.10.2 yang memperbaiki kerentanan (CVE-2021-21381) yang memungkinkan pembuat paket dengan aplikasi melewati mode isolasi kotak pasir yang ada dan mendapatkan akses ke file pada sistem host. Masalahnya telah muncul sejak rilis 0.9.4.
Kerentanan ini disebabkan oleh kesalahan dalam implementasi fungsi penerusan file, yang memungkinkan, melalui manipulasi file .desktop, untuk mengakses sumber daya di sistem file eksternal yang tidak boleh diakses oleh aplikasi yang sedang berjalan. Saat menambahkan file dengan tag "@@" dan "@@u" di bidang Exec, flatpak akan berasumsi bahwa file target yang ditentukan telah ditentukan secara eksplisit oleh pengguna dan secara otomatis akan meneruskan akses ke file ini ke kotak pasir. Kerentanan dapat digunakan oleh pembuat paket jahat untuk menyediakan akses ke file eksternal, meskipun tampak berjalan dalam mode isolasi.
Sumber: opennet.ru