CVE-2026-55888

XDG-Desktop-Portal bilmeyenler için Flatpak'in ve Snap'in de kullandığı sandboxlanmış uygulamalar için bir iletişim aracıdır. Sandboxlanmış bir uygulama örnek olarak Kamera'ya erişmek istediğinde direkt erişemez, onun yerine xdg-desktop-portal'a kameraya erişmek için izin ister ve xdg-desktop-portal'da masaüstünde kullanıcıya "xxx uygulaması kameraya erişsin mi" gibi bir Yes/No sorusu sorar.

Bu zafiyetlerde xdg-desktop-portal'ın exploitlenebileceği keşfedilmiş. Biri bellek hatası biride dbus servislerinden kaynaklanan "muhtemelen" race condition hatası.

Bu zafiyetler neye yol açabilirdi?

Zafiyetler sayesinde, bir sandboxlanmış flatpak veya snap paketi, kendini ortalama sandboxlanmamış sistem paketi yetkilerine çıkarabiliyordu. Yani dümdüz rpm/deb ile kurdugunuz veya paket yöneticinizle kurdugunuz paketler kadar yani ortalama bir sistem uygulaması kadar. O internetten kurdunuz firefox.deb dosyası sizin sistem uygulamalarınıza erişebilir, kullanıcı dosyalarınızı değiştirebilir okuyabilir. Ki bu da 50 yıllık unix ve unix-like sistemlerin bize hediyesi, kullanıcının başlattığı tüm uygulamalar eğer sandbox gibi katmanlar araya girmediyse o kullanıcının yetkileriyle çalışır. Zaten XDG-Desktop-Portal süreci de kullanıcı haklarıyla çalışan bir süreçtir.

Herneyse bu postu geleneksel paketleme standartlarına veya unix'in geri kalmışlığına sövmek için açmadım devam edelim.

Peki nasıl hasar minimuma çekilebilirdi?

SELinux veya Apparmor ile xdg-desktop-portal sürecinin yetkilerini kısıtlayarak hasar minimuma çekilebilirdi. Teknik olarak xdg-desktop-portal açıklarının bir kısmı xdg-desktop-portal sürecinin haklarını ele geçirebildiğinden hakları kısıtlanmış bir sistemi ele geçirmenin bir anlamı olmayacaktır.

xdg-desktop-portal sürümünüzü 1.22.1'e güncelleyin dostlar