Flatpak 1.10.2 дербес бумаларды жасауға арналған құралдар жинағының түзеткіш жаңартуы қолжетімді, ол осалдықты (CVE-2021-21381) жояды, ол қолданбасы бар бума авторына құмсалғышты оқшаулау режимін айналып өтуге және рұқсат алуға мүмкіндік береді негізгі жүйедегі файлдар. Мәселе 0.9.4 шығарылымынан бері пайда болды.
Осалдық .desktop файлын өңдеу арқылы іске қосылған қолданба арқылы кіруге тыйым салынған сыртқы файлдық жүйедегі ресурстарға қол жеткізуге мүмкіндік беретін файлдарды қайта жіберу функциясын жүзеге асырудағы қатеден туындайды. Exec өрісінде "@@" және "@@u" тегтері бар файлдарды қосқанда, flatpak көрсетілген мақсатты файлдарды пайдаланушы нақты көрсеткен деп есептейді және осы файлдарға құм жәшігіне автоматты түрде қатынасады. Оқшаулау режимінде іске қосылғанына қарамастан, осалдықты зиянды пакеттердің авторлары сыртқы файлдарға кіруді ұйымдастыру үшін пайдалана алады.
Ақпарат көзі: opennet.ru