Đã có bản cập nhật khắc phục cho công cụ đóng gói khép kín Flatpak 1.10.2 để khắc phục lỗ hổng (CVE-2021-21381) có thể cho phép tác giả của gói có ứng dụng bỏ qua cài đặt cách ly hộp cát và có quyền truy cập vào các tệp trên hệ thống máy chủ. Vấn đề đã xuất hiện kể từ phiên bản 0.9.4.
Lỗ hổng này xảy ra do lỗi trong quá trình triển khai chức năng chuyển tiếp tệp, khiến cho thông qua thao tác với tệp .desktop, có thể truy cập các tài nguyên trong hệ thống tệp bên ngoài mà ứng dụng đang chạy không được phép truy cập. Khi thêm các tệp có thẻ "@@" và "@@u" vào trường Exec, Flatpak sẽ cho rằng các tệp mục tiêu được chỉ định đã được người dùng chỉ định rõ ràng và sẽ tự động chuyển tiếp quyền truy cập vào các tệp này vào hộp cát. Lỗ hổng này có thể được tác giả của các gói độc hại lợi dụng để cung cấp quyền truy cập vào các tệp bên ngoài, mặc dù có vẻ như đang chạy ở chế độ cách ly.
Nguồn: opennet.ru