Bağımsız paketler oluşturmaya yönelik araç kitine yönelik düzeltici bir güncelleme olan Flatpak 1.10.2, bir uygulama içeren paketin yazarının korumalı alan izolasyon modunu atlamasına ve Ana sistemdeki dosyalar. Sorun 2021 sürümünden beri ortaya çıkıyor.
Güvenlik açığı, dosya iletme işlevinin uygulanmasındaki bir hatadan kaynaklanmaktadır; bu hata, bir .desktop dosyasının değiştirilmesi yoluyla, çalışan uygulama tarafından erişilmesi yasak olan harici bir dosya sistemindeki kaynaklara erişmeyi mümkün kılar. Exec alanına "@@" ve "@@u" etiketli dosyalar eklenirken, Flatpak belirtilen hedef dosyaların kullanıcı tarafından açıkça belirtildiğini varsayacak ve bu dosyalara otomatik olarak korumalı alan erişimi sağlayacaktır. Güvenlik açığı, izolasyon modunda çalışıyor gibi görünmesine rağmen, kötü amaçlı paketlerin yazarları tarafından harici dosyalara erişimi düzenlemek için kullanılabilir.
Kaynak: opennet.ru