Навсозии ислоҳкунандаи маҷмӯаи асбобҳо барои эҷоди бастаҳои мустақили Flatpak 1.10.2 дастрас аст, ки осебпазириро (CVE-2021-21381) аз байн мебарад, ки ба муаллифи бастаи барнома имкон медиҳад, ки режими изолятсияи қуттии қумро гузарад ва дастрасӣ ба файлҳо дар системаи асосӣ. Мушкилот аз замони нашри 0.9.4 пайдо мешавад.
Ин осебпазирӣ дар натиҷаи иштибоҳ дар амалисозии функсияи интиқоли файлҳо ба вуҷуд омадааст, ки имкон медиҳад тавассути коркарди файли .desktop ба захираҳои системаи файлии беруна, ки дастрасии барномаи коркунанда манъ аст, дастрас шавад. Ҳангоми илова кардани файлҳо бо барчаспҳои "@@" ва "@@u" дар майдони Exec, flatpak тахмин мекунад, ки файлҳои мавриди ҳадаф аз ҷониби корбар ба таври возеҳ муайян карда шудаанд ва ба таври худкор ба ин файлҳо ба қуттии қум дастрасӣ пайдо мекунанд. Ин осебпазирӣ метавонад аз ҷониби муаллифони бастаҳои зараровар барои ташкили дастрасӣ ба файлҳои беруна сарфи назар аз пайдоиши кор дар ҳолати ҷудокунӣ истифода шавад.
Манбаъ: opennet.ru