В обновленных версиях Flatpak 1.16.5 и 1.17.5 устранена критическая уязвимость CVE-2026-34078 (рейтинг 9.3), позволявшая приложениям полностью обходить песочницу. Из-за ошибки в сервисе flatpak-portal вредоносное ПО могло использовать символические ссылки для получения доступа на чтение и запись к любым файлам хост-системы. Это открывало путь к выполнению произвольного кода вне изоляции — например, через подмену ключей SSH или скриптов автозагрузки в ~/.bashrc.
Помимо основной бреши, разработчики исправили еще три проблемы: возможность удаления произвольных файлов через кэш ld.so (CVE-2026-34079), чтение системных файлов через system-helper и сбои в управлении загрузками. Важно отметить, что первые корректирующие выпуски (1.16.4 и 1.17.4) вызвали регрессии в работе Steam и браузеров, поэтому для стабильной работы рекомендуется устанавливать версии 1.16.5 и 1.17.5. В качестве экстренной меры можно временно отключить портал командами sudo systemctl --global mask flatpak-portal.service и systemctl --user stop flatpak-portal.service, хотя это может нарушить работу некоторых приложений.
