FLOTPAK - 安全噩梦 - 2年后

2021-03-21 16:20:41

大多数应用程序都可以完全访问主机系统,但用户误导了相信应用程序是沙箱

几乎所有流行的应用程序在flathub上仍然带有filesystem = host或filesystem = home权限,换句话说,写入访问用户主目录(和更多)所以所有它需要逃脱沙箱是琐事echo下载_and_execute_evil>> 〜/ .bashrc。它' s。

Flathub上最受欢迎的应用仍然遭受这一目标 - GIMP,Vscrodium,Pycharm,Octave,Inkscape,Audacity,VLC仍然没有沙箱。

事实上,用户仍然误导了蓝色"沙盒和#34;图标。两年不足以添加警告,即如果它附带危险权限(如完全访问您的主目录),应用程序不是沙盒的警告?严重地?

我花了大约20分钟的时间来找到具有完整主机访问的Flathub应用程序中的第一个漏洞,我甚至没有伤心使用漏洞扫描仪。

一个完美的例子是CVE-2019-17498,公共利用有限8个月。 Flathub上的第一个应用程序我发现要使用libssh2库是gitg,事实上,它确实使用了未被斑驳的libssh2。但这只是这个申请吗?让&#39看看Flatpak核心的官方运行时(org.freedesktop.platform和org.gnome.platform 3.36 - 大部分Plathub上的应用程序使用的时间。我在offical运行时发现的第一个未斑驳的易受攻击依赖项是版本4.2.1中的ffmpeg,没有向外保存修补程序,CVE-2020-12284。