Flatpak 1.16.4 új biztonsági javításokkal érkezik, köztük egy sandboxból való kitöréssel és a host fájlok törlésének lehetőségével. Most pedig elérhető az XDG-Desktop-Portal 1.20.4 is, amely egy saját biztonsági javítással akadályozza meg, hogy a sandboxolt alkalmazások tetszőleges host fájlokat tehessenek tönkre.

Az XDG Desktop Portal a Flatpak és az asztali konténerizációs keretrendszerek portal frontend szolgáltatása. Sajnos ennél is szükség volt egy új hibajavító kiadásra, hogy kezeljenek egy régóta nyitott biztonsági problémát.

A javított hiba azt akadályozza meg, hogy a sandboxolt alkalmazások az XDG Desktop Portalt kihasználva tetszőleges host fájlokat dobjanak a Kukába. Az XDG Desktop Portal eddig úgy kezelte a fájlok kukázását, hogy a GLib g_file_trash függvényét használta, ami az elérési utakra támaszkodik. Rosszindulatú alkalmazások ezt kihasználva versenyhelyzetet idézhettek elő, és az útvonal valamely pontján elhelyezett symlinkkel átirányíthatták a GLib g_file_trash működését, így az a host rendszeren tetszőleges fájl(oka)t kukázhatott.

Az új XDG-Desktop-Portal 1.20.4 kiadásban már file descriptor alapú műveletekre támaszkodnak, és biztonságosabban kerülnek a Kukába a célzott fájlok. Így nincs lehetőség symlinkes versenyhelyzettel a host rendszer felé átirányítani a műveletet.

Az XDG-Desktop-Portal 1.20.4 kiadásban ez az egyetlen említett változás, a csomag pedig már elérhető itt: GitHub.