https://cyberveille.ch/tags/libglnx/ Recent content in Libglnx on CyberVeille Hugo -- 0.146.0 fr-fr Cyberveille CC BY-NC-SA 4.0 Fri, 24 Apr 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-04-24-cve-2026-34078-sandbox-escape-dans-flatpak-via-injection-de-chemins-non-fiables/ Fri, 24 Apr 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-04-24-cve-2026-34078-sandbox-escape-dans-flatpak-via-injection-de-chemins-non-fiables/ <h2 id="-contexte">🗓️ Contexte</h2> <p>Article publié le 23 avril 2026 par Sebastian Wick (mainteneur de Flatpak) sur son blog personnel. L&rsquo;article constitue un post-mortem technique détaillé d&rsquo;une vulnérabilité critique découverte dans Flatpak suite à un audit de sécurité réalisé par <strong>Codean Labs</strong>.</p> <h2 id="-problème-fondamental">🔍 Problème fondamental</h2> <p>L&rsquo;article expose une classe de vulnérabilités liées à la gestion des chemins de fichiers dans les systèmes avec frontières de sécurité. Le problème central est que <strong>les chaînes de chemin (path strings) ne sont pas des références stables</strong> à des fichiers : entre le moment où un chemin est vérifié et celui où il est utilisé, le système de fichiers peut être modifié. Cette classe d&rsquo;attaque est connue sous le nom de <strong>TOCTOU (Time-Of-Check to Time-Of-Use)</strong>.</p>