Electron: Service Worker kann executeJavaScript IPC-Antworten spoofen

### Impact Ein Service Worker, der in einer Session ausgeführt wird, konnte Antwortnachrichten auf dem internen IPC-Kanal spoofen, der von `webContents.executeJavaScript()` und verwandten Methoden verwendet wird, wodurch das Main-Process-Promise mit vom Angreifer kontrollierten Daten aufgelöst wird. Apps sind nur betroffen, wenn sie Service Worker registriert haben und das Ergebnis von `webContents.executeJavaScript()` (oder `webFrameMain.executeJavaScript()`) für sicherheitsrelevante Entscheidungen verwenden. ### Workarounds Vertrauen Sie dem Rückgabewert von `webContents.executeJavaScript()` nicht für Sicherheitsentscheidungen. Verwenden Sie dedizierte, validierte IPC-Kanäle für die sicherheitsrelevante Kommunikation mit Renderern. ### Fixed Versions * `41.0.0` * `40.8.1` * `39.8.1` * `38.8.6` ### For more information Wenn Sie Fragen oder Anmerkungen zu dieser Empfehlung haben, senden Sie bitte eine E-Mail an [security@electronjs.org](mailto:security@electronjs.org)