Electron : Un service worker peut usurper les réponses IPC executeJavaScript

### Impact Un service worker s’exécutant dans une session pouvait usurper les messages de réponse sur le canal IPC interne utilisé par `webContents.executeJavaScript()` et les méthodes associées, ce qui entraînait la résolution de la promesse du processus principal avec des données contrôlées par l’attaquant. Les applications ne sont affectées que si elles ont des service workers enregistrés et utilisent le résultat de `webContents.executeJavaScript()` (ou `webFrameMain.executeJavaScript()`) dans des décisions sensibles en matière de sécurité. ### Solutions de contournement Ne faites pas confiance à la valeur de retour de `webContents.executeJavaScript()` pour les décisions de sécurité. Utilisez des canaux IPC dédiés et validés pour les communications sensibles à la sécurité avec les renderers. ### Versions corrigées * `41.0.0` * `40.8.1` * `39.8.1` * `38.8.6` ### Pour plus d’informations Si vous avez des questions ou des commentaires concernant cet avis, veuillez envoyer un e-mail à [security@electronjs.org](mailto:security@electronjs.org)