recentemente foram atualizações corretivas lançadas do jogo de ferramentas Flatpak para as diferentes versões 1.14.4, 1.12.8, 1.10.8 e 1.15.4, que já estão disponíveis e que resolvem duas vulnerabilidades.
Para aqueles que não estão familiarizados com Flatpak, você deve saber que este torna possível para os desenvolvedores de aplicativos simplificar a distribuição de seus programas que não estão incluídos nos repositórios de distribuição regulares preparando um contêiner universal sem criar compilações separadas para cada distribuição.
Para usuários preocupados com a segurança, Flatpak permite que um aplicativo questionável seja executado em um contêiner, dando acesso apenas a funções de rede e arquivos de usuário associados ao aplicativo. Para usuários interessados no que há de novo, o Flatpak permite que eles instalem as últimas versões de teste e estáveis de aplicativos sem precisar fazer alterações no sistema.
A principal diferença entre o Flatpak e o Snap é que o Snap usa os principais componentes do ambiente do sistema e o isolamento baseado em filtragem de chamadas do sistema, enquanto o Flatpak cria um contêiner de sistema separado e opera com grandes suítes de tempo de execução, fornecendo pacotes típicos em vez de pacotes como dependências.
Sobre os bugs detectados no Flatpak
Nessas novas atualizações de segurança, a solução é dada a dois erros detectados, um dos quais foi descoberto por Ryan Gonzalez (CVE-2023-28101) descobriu que mantenedores mal-intencionados do aplicativo Flatpak podem manipular ou ocultar essa exibição de permissão solicitando permissões que incluem códigos de controle de terminal ANSI ou outros caracteres não imprimíveis.
Isso foi corrigido no Flatpak 1.14.4, 1.15.4, 1.12.8 e 1.10.8 exibindo caracteres não imprimíveis com escape (\xXX, \uXXXX, \UXXXXXXXXXX) para que não alterem o comportamento do terminal e também tentando caracteres não imprimíveis em determinados contextos como inválidos (não permitidos).
Ao instalar ou atualizar um aplicativo Flatpak usando a CLI flatpak, normalmente são mostradas ao usuário as permissões especiais que o novo aplicativo possui em seus metadados, para que ele possa tomar uma decisão um tanto informada sobre permitir sua instalação.
Ao recuperar um permissões do aplicativo para exibir ao usuário, a interface gráfica continua sendo responsável por filtrar ou escapar quaisquer caracteres que eles têm um significado especial para suas bibliotecas GUI.
Pela parte da descrição das vulnerabilidadesEles compartilham o seguinte conosco:
- CVE-2023-28100: capacidade de copiar e colar texto no buffer de entrada do console virtual por meio da manipulação ioctl do TIOCLINUX ao instalar um pacote Flatpak criado pelo invasor. Por exemplo, a vulnerabilidade pode ser usada para preparar o lançamento de comandos de console arbitrários após a conclusão do processo de instalação de um pacote de terceiros. O problema aparece apenas no console virtual clássico (/dev/tty1, /dev/tty2, etc.) e não afeta sessões em xterm, gnome-terminal, Konsole e outros terminais gráficos. A vulnerabilidade não é específica do flatpak e pode ser usada para atacar outros aplicativos, por exemplo, foram encontradas anteriormente vulnerabilidades semelhantes que permitiam a substituição de caracteres por meio da interface TIOCSTI ioctl no /bin/ sandbox e snap.
- CVE-2023-28101– Capacidade de usar sequências de escape na lista de permissões nos metadados do pacote para ocultar informações sobre as permissões estendidas solicitadas que são exibidas no terminal durante a instalação ou atualização do pacote por meio da interface de linha de comando. Um invasor pode usar essa vulnerabilidade para enganar os usuários sobre as permissões usadas no pacote. É mencionado que as GUIs para libflatpak, como GNOME Software e KDE Plasma Discover, não são diretamente afetadas por isso.
Por fim, é mencionado que, como solução alternativa, você pode usar uma GUI como o GNOME Software Center em vez da linha de comando
interface, ou também é recomendado instalar apenas aplicativos cujos mantenedores você confia.
Se estiver interessado em saber mais sobre o assunto, pode consultar o detalhes no link a seguir.