GNOME Projesi geliştiricileri, kullanıcıların Flatpak sanal ortamından çıkmasına olanak tanıyan bir güvenlik açığını düzelten bir güncelleme yayınladı.
Sorun, harici URI'lerin işlenmesi ve Yelp'in uygulama başlatma mekanizmalarıyla entegrasyonuyla ilgiliydi. Saldırgan, özel olarak hazırlanmış bir belgeyi açarak, sanal ortamın dışında komutlar çalıştırabilir ve mevcut kullanıcının ayrıcalıklarıyla kullanıcının sistemine erişim sağlayabilirdi.
Bu güvenlik açığı öncelikle Yelp'in Flatpak uygulamaları içinde kullanıldığı veya bir sanal alan ortamının parçası olarak sunulduğu senaryoları etkiliyordu. Uzaktan istismar, kullanıcının kötü amaçlı bir yardım dosyasını veya bağlantıyı açmaya zorlanmasına bağlıydı.
Bu düzeltme Yelp'in yeni sürümlerine zaten dahil edildi ve dağıtım paketlerinde de görünmeye başladı. GNOME geliştiricileri ayrıca URI kontrollerini güçlendirdi ve harici işleyicileri başlatmak için güvenli olmayan yöntemleri kısıtladı.
Bu olayın, Linux'ta sanal alan mekanizmalarının masaüstüne entegrasyonundaki sorunlara bir kez daha dikkat çektiğini belirtmekte fayda var. Flatpak'in izolasyonuna rağmen, masaüstü bileşenlerindeki ve MIME/URI işleyicilerindeki hatalar, kısıtlamaları aşmanın başlıca yollarından biri olmaya devam ediyor.
Kaynak: linux.org.ru
