Electron: Renderer-Befehlszeilen-Switch-Injection über undokumentierte commandLineSwitches webPreference

### Impact Eine undokumentierte `commandLineSwitches` webPreference erlaubte das Anhängen beliebiger Switches an die Befehlszeile des Renderer-Prozesses. Apps, die `webPreferences` erstellen, indem sie nicht vertrauenswürdige Konfigurationsobjekte verteilen, können unbeabsichtigt einem Angreifer erlauben, Switches einzufügen, die Renderer-Sandboxing oder Web-Sicherheitskontrollen deaktivieren. Apps sind nur betroffen, wenn sie `webPreferences` aus externen oder nicht vertrauenswürdigen Eingaben ohne eine Allowlist erstellen. Apps, die ein festes, fest codiertes `webPreferences`-Objekt verwenden, sind nicht betroffen. ### Workarounds Verteilen Sie keine nicht vertrauenswürdigen Eingaben in `webPreferences`. Verwenden Sie eine explizite Allowlist zulässiger Preference-Keys, wenn Sie `BrowserWindow`- oder `webContents`-Optionen aus externer Konfiguration erstellen. ### Fixed Versions * `41.0.0-beta.8` * `40.7.0` * `39.8.0` * `38.8.6` ### For more information Wenn Sie Fragen oder Anmerkungen zu dieser Empfehlung haben, senden Sie eine E-Mail an [security@electronjs.org](mailto:security@electronjs.org)