Flatpak, az asztali alkalmazások sandboxolt környezetben történő terjesztésére szolgáló univerzális Linux csomagolási rendszer kiadta az 1.16.4-es verziót, amely a 1.16-os sorozat negyedik hibajavító frissítése. A kiadás négy sebezhetőséget javít, köztük egyet, amelyet teljes sandboxból való kitörésként írtak le.

A legsúlyosabb probléma, a CVE-2026-34078 lehetővé teheti a host fájljainak elérését és kódfuttatást a sandboxon belülről. A Flatpak 1.16.4 a CVE-2026-34079-et is javítja, amely a host fájlrendszerén tetszőleges fájlok törléséhez vezethet.

A frissítés emellett egy olyan hibát is javít, amelyen keresztül egy támadó a Flatpak rendszersegédjén át bizonyos fájlokat olvashatott a hoston, valamint egy olyan problémát is, amelynél az egyik felhasználó meg tudta zavarni egy másik felhasználó folyamatban lévő alkalmazásletöltésének követését, így a letöltés megfelelő leállítási lehetőség nélkül futhatott tovább.

A sebezhetőségek súlyossága miatt – különösen a sandboxból való kitörést lehetővé tevő hiba miatt – a felhasználóknak és a disztribúcióknak érdemes a lehető leghamarabb Flatpak 1.16.4-re frissíteniük, amint elérhetővé válnak a frissítések.

További információért nézd meg a változásnaplót.