Vulnérabilité dans le système de virtualisation Flatpack

CVE-2021-21261 [Score CVSS v3 : 8.8] : Une vulnérabilité a été corrigée dans le service `flatpak-portal` qui peut permettre à des applications virtualisées d'exécuter du code arbitraire sur le système hôte. Le service D-Bus du portail Flatpak (service D-Bus `org.freedesktop.portal.Flatpak`)   permet aux applications d'un bac à sable Flatpak de lancer leurs propres sous-processus dans une nouvelle instance de bac à sable, soit avec les mêmes paramètres de sécurité que l'appelant, soit avec des paramètres de sécurité plus restrictifs. Par exemple, cette fonction est utilisée dans les navigateurs web de type Flatpak tels que Chromium pour lancer des sous-processus qui traiteront des contenus web non fiables et donneront à ces sous-processus une sandbox plus restrictive que le navigateur lui-même. Dans les versions vulnérables, le service de portail Flatpak transmet les variables d'environnement spécifiées par l'appelant à des processus non “sandboxés” sur le système hôte, et en particulier à la commande "flatpak run" qui est utilisée pour lancer la nouvelle instance de sandbox. Un attaquant distant peut potentiellement créer une instance Flatpack malveillante ou bien compromettre une instance légitime. Se faisant, il pourrait être en mesure de définir des variables d'environnement auxquelles la commande `flatpak run` fait confiance, et les utiliser pour exécuter du code arbitraire sur le système hôte sous-jacent.