Eine kritische Sicherheitslücke wurde in der Anwendungsverwaltungssoftware Flatpak entdeckt, die es ermöglicht, aus der Sandbox auszubrechen und potenziell schädlichen Code auf dem Host-System auszuführen. Die Schwachstelle ist als CVE-2024-32462 registriert und betrifft mehrere Versionen von Flatpak, einer Sandboxing Software für Linux Desktop Anwendungen.
Die Sicherheitslücke wurde von Gergo Koteles entdeckt und ist auf ein Problem mit der Verarbeitung von Kommandozeilenargumenten in der Verbindung mit dem xdg-desktop-portal zurückzuführen. Normalerweise erwartet das --command
Argument von flatpak run
, dass ihm ein Befehl übergeben wird, der innerhalb der Flatpak-App ausgeführt werden soll. In den betroffenen Versionen kann jedoch ein langes Optionsargument wie --bind
fälschlicherweise als Option für bwrap
interpretiert werden, was zu einem unbefugten Zugriff auf das Host-System führen kann.
Die Schwachstelle betrifft Flatpak-Versionen vor 1.10.9, 1.12.9, 1.14.6 und 1.15.8. Die Entwickler haben Patches veröffentlicht, die in den neuesten Versionen von Flatpak integriert sind:
- 1.10.x >= 1.10.9
- 1.12.x >= 1.12.9
- 1.14.x >= 1.14.6
- 1.15.x >= 1.15.8
Zusätzlich zu den Updates hat das xdg-desktop-portal in den Versionen 1.18.4 und 1.16.1 eine Absicherung implementiert, die verhindert, dass Flatpak-Apps neue .desktop-Dateien für Befehle erstellen, die mit einem -
beginnen. Diese Maßnahme soll weiteren Missbrauch dieser Sicherheitslücke verhindern.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: