Foi recentemente postado na mailing list do Xorg um alerta para um vulnerabilidade de segurança no mesmo que permite a execução de código (RCE) em máquinas com acesso remoto, e acesso root para programas normais caso o Xorg esteja rodando como esse usuário.
Não é dito na postagem, mas presumo que a vulnerabilidade permita escapar da sandbox do Flatpak/Snap.
A correção já está aplicada nas versões de desenvolvimento do Xorg, e nos próximos dias as distribuições devem trazê-las para as versões estáveis dos seus repositórios.
Não exatamente. Por razões históricas, muitas DMs no Linux iniciam a sessão dos usuários normais com o Xorg rodando como root em vez do usuário em si, o que permitiria essa brecha ser uma maneira de ganhar root “de graça”:
Mitigar brechas e fraquezas de serviços a nível de sistema é algo que vai além do escopo de tecnologias de sandboxing.
No máximo é possível dar ou negar o acesso a rede e ao X11 via sandbox mas obviamente aplicações que fornecem X11 forwarding não tem muita escolha se não ter esses acessos… ¯\_(ツ)_/¯
X11 forwarding já não é lá uma ideia muito boa… Isolar conexões remotas no geral já é uma tarefa complexa, quem dirá uma conexão remota com acesso a um “rocambole” do tamanho do X11.
Esses últimos meses de 2021 esta sendo terrível para Tecnologia, vários ataques ransonware (com suspeitas de funcionários envolvidos), novas vulnerabilidades nos processadores da Intel incluindo os mais recentes (porque não estou surpreso…), vulnerabilidade critica no Log4j, Kernel Linux, Xorg… Muito importante manter backups em dia e também testar esses backups para evitar surpresas…