Flatpak Users Beware: CVE-2024-32462 Vulnerability Allows Apps to Escape Sandbox
2024/04/18 SecurityOnline — Linux アプリケーションのパッケージ化とディストリビューションのための、一般的なフレームワークである Flatpak に脆弱性 CVE-2024-32462 が存在することが、最近のセキュリティ・アドバイザリにより明らかになった。この脆弱性により侵害された Flatpak アプリがサンドボックス・デザインの欠陥を悪用し、意図した環境外で有害なコードを実行する可能性があるという。
仕組み
Flatpak のデザインにより、Linux アプリケーションは個別のサンドボックスに隔離され、そのセキュリティが強化されるようになる。この隔離により、アプリケーション間の相互干渉や、ホスト・システムへの干渉などが防止され、安定性とセキュリティが確保される。
Gergo Koteles により発見された、脆弱性 CVE-2024-32462 (CVSS:8.4) がもたらす深刻なリスクにより、悪意のアプリが指定されたセキュア環境外で、任意のコードを実行することが可能になる。
一般的に Flatpak アプリケーションは、不正なアクセスや干渉からシステムを保護するために設計され、サンドボックス内に隔離され動作する。そして、Flatpak が “xdg-desktop-portal” というコンポーネントと連携してコマンドを処理する方法に、この脆弱性は起因する。
このコマンドの処理方法の操作に成功した攻撃者は、サンドボックスの境界を潜り抜けてコマンドを実行することが可能になり、システム上で悪意のあるコードを実行する可能性を得てしまう。
ユーザーへの影響
この悪用がもたらす影響は深刻であり、サンドボックスから抜け出したアプリにより、次のような影響が生じるという:
- データの漏洩:サンドボックス外の機密ファイルや情報に対する、不正アクセスの可能性が生じる。
- システムの乗っ取り: 攻撃者は、昇格した権限で任意のコマンドを実行し、システム制御を奪う可能性を持つ。
- 横展開: ネットワーク上の他のアプリケーションやシステムに、さらに感染していく可能性が生じる。
対処方法
すでに Flatpak の開発者は、この脆弱性に対処するためのパッチをリリースしている。したがって、直ちにアップデートすることが重要である:
- Flatpak のアップデート: 以下のパッチを適用したバージョンの、いずれかを使用していることを確認してほしい: 1.10.9/1.12.9/1.14.6/1.15.8。Flatpak のパッケージマネージャまたは Web サイトで、利用可能なアップデートを確認する。
- 可能であれば xdg-desktop-portal もアップデート: ディストリビューションがサポートしている場合には、xdg-desktop-portal のバージョンを 1.18.4/1.16.1 に更新してほしい。
Flatpak について調べてみたら、日本語の Wikipedia で、「Flatpak (旧称:xdg-app) は、Linuxデスクトップ向けのソフトウェアデプロイメント・パッケージ管理などを行うものである。アプリケーションとシステムを分離して実行するできるサンドボックスを、ユーザーに提供する。Flatpak を使用するアプリケーションは、ハードウェア制御や、ファイルにアクセスする権限を要求する」と解説されていました。かなり、広範に利用されていると推測されますので、ご注意ください。
IoT OT Security News 
You must be logged in to post a comment.