Flatpak, универсальная система упаковки Linux для распространения настольных приложений в изолированных средах, обновилась до версии 1.16.4. В этом выпуске устранены четыре уязвимости, в том числе одна, которая приводила к полному выходу из изолированной среды.
Самая серьезная проблема, CVE-2026-34078, могла привести к получению доступа к файлам хоста и выполнению кода из «песочницы». Также устранена уязвимость CVE-2026-34079, которая могла привести к произвольному удалению файлов в файловой системе хоста.
Кроме того, в обновлении исправлена ошибка, которая могла позволить злоумышленнику получить доступ к определенным файлам на хосте через системный помощник Flatpak, а также недоработка, из-за которой один пользователь системы мог прервать отслеживание загрузки приложения другим пользователем, оставив его без возможности остановить процесс.
Из-за серьёзности этих проблем, особенно уязвимости, связанной с выходом за пределы изолированной программной среды, пользователям и разработчикам дистрибутивов следует как можно скорее обновиться до Flatpak 1.16.4.
Источник: trashbox.ru