خود ساختہ پیکجز Flatpak 1.10.2 بنانے کے لیے ٹول کٹ میں ایک اصلاحی اپ ڈیٹ دستیاب ہے، جو ایک کمزوری (CVE-2021-21381) کو ختم کرتا ہے جو ایک ایپلیکیشن کے ساتھ پیکج کے مصنف کو سینڈ باکس آئسولیشن موڈ کو نظرانداز کرنے اور ان تک رسائی حاصل کرنے کی اجازت دیتا ہے۔ مین سسٹم پر فائلیں یہ مسئلہ ریلیز 0.9.4 کے بعد سے ظاہر ہو رہا ہے۔
کمزوری فائل فارورڈنگ فنکشن کے نفاذ میں خرابی کی وجہ سے ہوتی ہے، جس کی وجہ سے .desktop فائل کی ہیرا پھیری کے ذریعے، کسی بیرونی فائل سسٹم میں ایسے وسائل تک رسائی ممکن ہوتی ہے جن تک چلنے والی ایپلیکیشن کے ذریعے رسائی ممنوع ہے۔ Exec فیلڈ میں "@@" اور "@@u" ٹیگز کے ساتھ فائلوں کو شامل کرتے وقت، flatpak یہ فرض کرے گا کہ مخصوص ٹارگٹ فائلیں صارف کے ذریعہ واضح طور پر بیان کی گئی تھیں اور خود بخود ان فائلوں تک سینڈ باکس تک رسائی حاصل کر لے گی۔ اس خطرے کو نقصان دہ پیکجز کے مصنفین تنہائی کے موڈ میں چلنے کے باوجود بیرونی فائلوں تک رسائی کو منظم کرنے کے لیے استعمال کر سکتے ہیں۔
ماخذ: opennet.ru