用于创建独立包 Flatpak 1.10.2 的工具包已提供修正更新,该更新消除了一个漏洞 (CVE-2021-21381),该漏洞允许带有应用程序的包的作者绕过沙盒隔离模式并获得对主系统上的文件。 该问题从 0.9.4 版本开始就出现了。
该漏洞是由于文件转发功能实现中的错误导致的,该功能可以通过操纵.desktop文件来访问外部文件系统中禁止运行的应用程序访问的资源。 当在 Exec 字段中添加带有“@@”和“@@u”标签的文件时,Flatpak 会假设指定的目标文件是由用户显式指定的,并会自动对这些文件进行沙箱访问。 尽管该漏洞看似在隔离模式下运行,但恶意软件包的作者仍可利用该漏洞来组织对外部文件的访问。
来源: opennet.ru