CVE-2021-43860

Versões do Flatpak anteriores à 1.12.3 e à 1.10.6

O problema decorre da falha do Flatpak em validar adequadamente se as permissões exibidas ao usuário para um aplicativo no momento da instalação correspondem às permissões reais concedidas ao aplicativo em tempo de execução, especialmente quando há um byte nulo no arquivo de metadados de um aplicativo. Isso permite que os aplicativos concedam permissões a si mesmos sem o consentimento do usuário. As permissões são mostradas ao usuário por meio da leitura da chave xa.metadata nos metadados de commit, que não podem conter um terminador nulo, pois se trata de um GVariant não confiável. No entanto, o conteúdo real dos metadados é carregado em vários locais onde é lido como simples strings no estilo C, o que significa que, se o arquivo de metadados incluir um terminador nulo, apenas o conteúdo antes do terminador será comparado com xa.metadata. Assim, quaisquer permissões que apareçam no arquivo de metadados após um terminador nulo são aplicadas em tempo de execução, mas não exibidas ao usuário. Usuários que tenham Flatpaks instalados a partir de fontes não confiáveis correm risco se o Flatpak tiver um arquivo de metadados criado de forma maliciosa, seja inicialmente ou em uma atualização.

Para versões anteriores à 1.12.3 e 1.10.6, atualize para a versão 1.12.3 ou 1.10.6 para resolver o problema.

Como solução alternativa temporária, os usuários podem verificar manualmente as permissões dos aplicativos instalados, verificando o arquivo de metadados ou a chave xa.metadata nos metadados do commit.