自己完結型パッケージを作成するためのツールキットの修正アップデート Flatpak 1.10.2 が利用可能になり、アプリケーションを含むパッケージの作成者がサンドボックス分離モードをバイパスして、メインシステム上のファイル。 この問題はリリース 2021 以降に発生しています。
この脆弱性は、ファイル転送機能の実装におけるエラーによって引き起こされます。この機能により、.desktop ファイルの操作を通じて、実行中のアプリケーションによってアクセスが禁止されている外部ファイル システム内のリソースにアクセスすることが可能になります。 Exec フィールドにタグ「@@」および「@@u」を持つファイルを追加すると、 flatpak は指定されたターゲット ファイルがユーザーによって明示的に指定されたものとみなし、これらのファイルへのアクセスを自動的にサンドボックス化します。 この脆弱性は、分離モードで実行されているように見えても、悪意のあるパッケージの作成者によって外部ファイルへのアクセスを組織化するために悪用される可能性があります。
出所: オープンネット.ru