Galimas taisomasis „Flatpak 1.10.2“ savarankiško pakavimo įrankio naujinimas, kuris pašalina pažeidžiamumą (CVE-2021-21381), kuris gali leisti paketo su programa autoriui apeiti smėlio dėžės atskyrimo nustatymą ir pasiekti failus priimančioji sistema. Problema išryškėjo nuo 0.9.4 versijos.
Pažeidžiamumą sukelia klaida įgyvendinant failų persiuntimo funkciją, kuri leidžia manipuliuojant .desktop failu pasiekti išorinės failų sistemos išteklius, kurių neleidžiama pasiekti veikiančiai programai. Pridėjus failus su „@@“ ir „@@u“ žymomis į „Exec“ lauką, „flatpak“ darys prielaidą, kad nurodytus tikslinius failus aiškiai nurodė vartotojas, ir automatiškai perduos prieigą prie šių failų į smėlio dėžę. Pažeidžiamumą gali naudoti kenkėjiškų paketų autoriai, kad suteiktų prieigą prie išorinių failų, nepaisant to, kad jie veikia izoliuotu režimu.
Šaltinis: opennet.ru