A mediados de la pasada década, Canonical (la compañía desarrolladora de Ubuntu Linux) puso en marcha su propia iniciativa para distribuir paquetes de software para Linux independientes de la distribución. Así, los paquetes Snap vinieron a sumarse a otros formatos 'universales', como Flatpak y AppImage.

Si ya en los primeros pasos del formato, hace 6 años, se detectaron graves problemas de seguridad con los Snaps, que permitía a sus desarrolladores robar datos de otras aplicaciones, ahora han salido a la luz múltiples vulnerabilidades nuevas de este sistema de empaquetado de software…

…siendo el caso más crítico, la clasificada como CVE-2021-44731, una vulnerabilidad que puede ser explotada para realizar un ataque de escalada de privilegios, obteniendo así privilegios de 'root' (el usuario administrador en los sistemas Unix).

Inyecciones de código (ya parcheadas)

Este problema de seguridad, con una puntuación de gravedad de 7,8 en el sistema CVSS, está localizado en el programa snapd (el que permite instalar, actualizar y desinstalar los paquetes Snap), concretamente en el componente snap-confine, encargado de construir el entorno de ejecución de las aplicaciones.

En Genbeta

AppImage, Snap, Flatpak... en qué se diferencian los principales formatos de distribución de software de Linux

Aparentemente, según informa Red Hat, este componente presenta lo que se conoce como una 'condición de carrera', la situación que se produce cuando la secuencia de eventos de un proceso no se ejecuta en el orden que el programador esperaba, generando …