Electron : injection de commutateur de ligne de commande du moteur de rendu via la préférence web commandLineSwitches non documentée

### Impact Une préférence web `commandLineSwitches` non documentée permettait d’ajouter des commutateurs arbitraires à la ligne de commande du processus du moteur de rendu. Les applications qui construisent des `webPreferences` en étendant des objets de configuration non fiables peuvent par inadvertance permettre à un attaquant d’injecter des commutateurs qui désactivent le sandboxing du moteur de rendu ou les contrôles de sécurité web. Les applications ne sont concernées que si elles construisent des `webPreferences` à partir d’entrées externes ou non fiables sans liste d’autorisation. Les applications qui utilisent un objet `webPreferences` fixe et codé en dur ne sont pas concernées. ### Solutions de contournement N’étendez pas les entrées non fiables dans `webPreferences`. Utilisez une liste d’autorisation explicite des clés de préférence autorisées lors de la construction des options `BrowserWindow` ou `webContents` à partir d’une configuration externe. ### Versions corrigées * `41.0.0-beta.8` * `40.7.0` * `39.8.0` * `38.8.6` ### Pour plus d’informations Si vous avez des questions ou des commentaires concernant cet avis, veuillez envoyer un e-mail à [security@electronjs.org](mailto:security@electronjs.org)