A equipe de desenvolvimento do Flatpak, o principal framework de empacotamento e sandboxing de aplicações para Linux, lançou a versão 1.16.4, com foco exclusivo em correções de segurança de alta gravidade.
Essa atualização é essencial para todos os usuários que dependem do Flatpak para executar aplicativos de terceiros — especialmente em distribuições como Fedora Workstation, Ubuntu, Debian e Pop!_OS, onde o suporte nativo ao Flatpak está cada vez mais consolidado.
Vulnerabilidades corrigidas na versão 1.16.4
A nova versão resolve duas falhas críticas identificadas pelo pesquisador de segurança Vladislav Yasevich, ambas classificadas com severidade alta pela equipe de segurança do projeto.
A primeira afeta o mecanismo de port forwarding usado pelo flatpak run ao expor portas locais via --socket=host. Um atacante local poderia explorar essa falha para contornar restrições de sandbox e executar código arbitrário no sistema hospedeiro.
A segunda envolve o tratamento incorreto de caminhos simbólicos durante a montagem de diretórios compartilhados (por exemplo, com --filesystem=home). Isso permitia escalonamento de privilégios dentro do ambiente sandboxado.
Ambas as vulnerabilidades foram atribuídas aos CVEs CVE-2024-32451 e CVE-2024-32452, respectivamente.
Como atualizar o Flatpak no seu sistema
A maioria das distribuições Linux já disponibilizou a versão 1.16.4 nos repositórios oficiais. Para verificar sua versão atual:
flatpak --versionSe estiver abaixo de 1.16.4, execute a atualização conforme seu gerenciador de pacotes:
-
Fedora:
sudo dnf update flatpak -
Debian/Ubuntu:
sudo apt update && sudo apt install --only-upgrade flatpak -
Arch Linux:
sudo pacman -Syu flatpak
Após atualizar, reinicie sessões ativas ou reinicie o daemon do Flatpak com:
systemctl --user restart org.freedesktop.Flatpak.SystemHelperPor que essa atualização é fundamental para usuários brasileiros?
No Brasil, o uso de Flatpak cresceu significativamente com o aumento da adoção de distribuições voltadas para desktop — como Linux Mint, Zorin OS e Ubuntu Kylin — que priorizam facilidade de instalação de aplicativos sem depender de repositórios específicos da distro.
Além disso, ferramentas populares entre desenvolvedores e designers locais — como Blender, GIMP, Inkscape, OnlyOffice e Signal — são frequentemente distribuídas via Flatpak. Manter o runtime atualizado é, portanto, uma camada essencial de proteção contra exploração local.
Próximos passos recomendados
-
Verifique se todos os runtimes instalados também estão atualizados:
flatpak update --appstream && flatpak update -
Revise permissões concedidas a aplicativos com
flatpak override --show <app-id>. Evite concessões desnecessárias como--filesystem=hostou--socket=wayland. -
Acompanhe lançamentos oficiais no blog do Flatpak e na página de lançamentos no GitHub.
O Flatpak continua sendo uma peça-chave da estratégia de segurança por isolamento no ecossistema Linux desktop — e atualizações como esta reforçam seu papel como padrão de fato para distribuição segura de software livre.
