FLOTPAK - 安全噩梦 - 2年后

大多数应用程序都可以完全访问主机系统，但用户误导了相信应用程序是沙箱

几乎所有流行的应用程序在flathub上仍然带有filesystem = host或filesystem = home权限，换句话说，写入访问用户主目录（和更多）所以所有它需要逃脱沙箱是琐事echo下载_and_execute_evil＆gt;＆gt; 〜/ .bashrc。它＆＃39; s。

Flathub上最受欢迎的应用仍然遭受这一目标 - GIMP，Vscrodium，Pycharm，Octave，Inkscape，Audacity，VLC仍然没有沙箱。

事实上，用户仍然误导了蓝色＆＃34;沙盒和＃34;图标。两年不足以添加警告，即如果它附带危险权限（如完全访问您的主目录），应用程序不是沙盒的警告？严重地？

我花了大约20分钟的时间来找到具有完整主机访问的Flathub应用程序中的第一个漏洞，我甚至没有伤心使用漏洞扫描仪。

一个完美的例子是CVE-2019-17498，公共利用有限8个月。 Flathub上的第一个应用程序我发现要使用libssh2库是gitg，事实上，它确实使用了未被斑驳的libssh2。但这只是这个申请吗？让＆＃39看看Flatpak核心的官方运行时（org.freedesktop.platform和org.gnome.platform 3.36 - 大部分Plathub上的应用程序使用的时间。我在offical运行时发现的第一个未斑驳的易受攻击依赖项是版本4.2.1中的ffmpeg，没有向外保存修补程序，CVE-2020-12284。