A Flatpak 1.16.4 elsőként a CVE-2026-34078 hibát javítja. Ez egy olyan biztonsági probléma, amely teljes sandboxból való kitörést tesz lehetővé, ami a host fájlok eléréséhez és a host környezetében történő kódfuttatáshoz vezethet. A gondot az okozza, hogy a Flatpak Portal a sandbox-expose opciókban olyan útvonalakat is elfogad, amelyek app által vezérelt symlinkek lehetnek, és tetszőleges útvonalra mutathatnak. Emiatt az alkalmazások az összes host fájlhoz hozzáférhetnek, és ez alapként szolgálhat a host környezetében történő kódfuttatás megszerzéséhez. A Flatpak Portal letiltásával is megkerülhető a probléma, de ez alkalmazásproblémákat okozhat.

A kiadás a CVE-2026-34079 hibát is javítja, amely a host fájlrendszeren történő tetszőleges fájltörlés megakadályozására szolgál. A CVE-2026-34079 a ld.so cache-eléséhez kapcsolódik: a rendszer az elavult cache fájlokat úgy távolította el, hogy nem ellenőrizte, az app által vezérelt, az elavult cache-re mutató útvonal valóban a cache könyvtárban található-e.

Egy másik javított biztonsági probléma a GHSA-2fxp-43j9-pwvc, amely a system-helper környezetében történő fájlokhoz való tetszőleges olvasási hozzáférést akadályozza meg. Végül javítottak egy hibát is, amely megakadályozza, hogy a felhasználók közötti pull műveletek „árván” maradjanak.

A Flatpak 1.16.4 letöltése és az új kiadás további részletei itt érhetők el: GitHub.