Leiðréttandi uppfærsla á Flatpak 1.10.2, verkfærakistu til að búa til sjálfstæða pakka, er nú fáanleg. Hún lagar veikleika (CVE-2021-21381) sem gerir höfundi forritapakka kleift að komast framhjá einangrun sandkassa og fá aðgang að skrám á hýsilkerfinu. Vandamálið hefur verið til staðar frá útgáfu 0.9.4.
Veikleikinn stafar af villu í skráarframsendingaraðgerðinni, sem gerir kleift að stjórna .desktop skrá til að fá aðgang að auðlindum í ytra skráarkerfinu sem keyrandi forriti er bannað að nálgast. Þegar skrám með "@@" og "@@u" merkjunum er bætt við Exec reitinn, gerir flatpak ráð fyrir að tilgreindar markskrár hafi verið sérstaklega tilgreindar af notandanum og sendir sjálfkrafa aðgang að þessum skrám í sandkassann. Þessi veikleiki getur verið nýttur af illgjörnum pakkahöfundum til að fá aðgang að ytri skrám þrátt fyrir að virðast keyra í sandkassaham.
Heimild: opennet.ru
