Aġġornament korrettiv għas-sett ta' għodod għall-ħolqien ta' pakketti awtonomi Flatpak 1.10.2 huwa disponibbli, li jelimina vulnerabbiltà (CVE-2021-21381) li tippermetti lill-awtur ta' pakkett b'applikazzjoni biex jevita l-mod ta' iżolament ta' sandbox u jikseb aċċess għal fajls fuq is-sistema prinċipali. Il-problema ilha tidher mir-rilaxx 0.9.4.
Il-vulnerabbiltà hija kkawżata minn żball fl-implimentazzjoni tal-funzjoni ta 'trażmissjoni tal-fajls, li jagħmilha possibbli, permezz ta' manipulazzjoni ta 'fajl .desktop, li taċċessa riżorsi f'sistema ta' fajls esterna li huma pprojbiti milli jiġu aċċessati mill-applikazzjoni li qed taħdem. Meta żżid fajls bit-tags "@@" u "@@u" fil-qasam Exec, flatpak se jassumi li l-fajls fil-mira speċifikati kienu speċifikati b'mod espliċitu mill-utent u awtomatikament se aċċess sandbox għal dawn il-fajls. Il-vulnerabbiltà tista 'tintuża mill-awturi ta' pakketti malizzjużi biex jorganizzaw l-aċċess għal fajls esterni, minkejja d-dehra li taħdem f'mod ta 'iżolament.
Sors: opennet.ru