K dispozícii je opravná aktualizácia súpravy nástrojov na vytváranie samostatných balíkov Flatpak 1.10.2, ktorá eliminuje zraniteľnosť (CVE-2021-21381), ktorá umožňuje autorovi balíka s aplikáciou obísť režim izolácie karantény a získať prístup k súbory v hlavnom systéme. Problém sa objavuje od vydania 0.9.4.
Zraniteľnosť je spôsobená chybou v implementácii funkcie preposielania súborov, ktorá umožňuje prostredníctvom manipulácie so súborom .desktop pristupovať k prostriedkom v externom súborovom systéme, ku ktorým má spustená aplikácia zakázaný prístup. Pri pridávaní súborov so značkami "@@" a "@@u" v poli Exec bude flatpak predpokladať, že špecifikované cieľové súbory boli explicitne špecifikované používateľom a automaticky získa prístup k týmto súborom v karanténe. Zraniteľnosť môžu využiť autori škodlivých balíkov na organizáciu prístupu k externým súborom, a to aj napriek tomu, že sa zdá, že bežia v režime izolácie.
Zdroj: opennet.ru