<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.1//EN"
"http://www.w3.org/TR/xhtml11/DTD/xhtml11.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head><meta http-equiv="content-type" content="text/html; charset=utf-8" />
<title>[243277] trunk</title>
</head>
<body>

<style type="text/css"><!--
#msg dl.meta { border: 1px #006 solid; background: #369; padding: 6px; color: #fff; }
#msg dl.meta dt { float: left; width: 6em; font-weight: bold; }
#msg dt:after { content:':';}
#msg dl, #msg dt, #msg ul, #msg li, #header, #footer, #logmsg { font-family: verdana,arial,helvetica,sans-serif; font-size: 10pt;  }
#msg dl a { font-weight: bold}
#msg dl a:link    { color:#fc3; }
#msg dl a:active  { color:#ff0; }
#msg dl a:visited { color:#cc6; }
h3 { font-family: verdana,arial,helvetica,sans-serif; font-size: 10pt; font-weight: bold; }
#msg pre { overflow: auto; background: #ffc; border: 1px #fa0 solid; padding: 6px; }
#logmsg { background: #ffc; border: 1px #fa0 solid; padding: 1em 1em 0 1em; }
#logmsg p, #logmsg pre, #logmsg blockquote { margin: 0 0 1em 0; }
#logmsg p, #logmsg li, #logmsg dt, #logmsg dd { line-height: 14pt; }
#logmsg h1, #logmsg h2, #logmsg h3, #logmsg h4, #logmsg h5, #logmsg h6 { margin: .5em 0; }
#logmsg h1:first-child, #logmsg h2:first-child, #logmsg h3:first-child, #logmsg h4:first-child, #logmsg h5:first-child, #logmsg h6:first-child { margin-top: 0; }
#logmsg ul, #logmsg ol { padding: 0; list-style-position: inside; margin: 0 0 0 1em; }
#logmsg ul { text-indent: -1em; padding-left: 1em; }#logmsg ol { text-indent: -1.5em; padding-left: 1.5em; }
#logmsg > ul, #logmsg > ol { margin: 0 0 1em 0; }
#logmsg pre { background: #eee; padding: 1em; }
#logmsg blockquote { border: 1px solid #fa0; border-left-width: 10px; padding: 1em 1em 0 1em; background: white;}
#logmsg dl { margin: 0; }
#logmsg dt { font-weight: bold; }
#logmsg dd { margin: 0; padding: 0 0 0.5em 0; }
#logmsg dd:before { content:'\00bb';}
#logmsg table { border-spacing: 0px; border-collapse: collapse; border-top: 4px solid #fa0; border-bottom: 1px solid #fa0; background: #fff; }
#logmsg table th { text-align: left; font-weight: normal; padding: 0.2em 0.5em; border-top: 1px dotted #fa0; }
#logmsg table td { text-align: right; border-top: 1px dotted #fa0; padding: 0.2em 0.5em; }
#logmsg table thead th { text-align: center; border-bottom: 1px solid #fa0; }
#logmsg table th.Corner { text-align: left; }
#logmsg hr { border: none 0; border-top: 2px dashed #fa0; height: 1px; }
#header, #footer { color: #fff; background: #636; border: 1px #300 solid; padding: 6px; }
#patch { width: 100%; }
#patch h4 {font-family: verdana,arial,helvetica,sans-serif;font-size:10pt;padding:8px;background:#369;color:#fff;margin:0;}
#patch .propset h4, #patch .binary h4 {margin:0;}
#patch pre {padding:0;line-height:1.2em;margin:0;}
#patch .diff {width:100%;background:#eee;padding: 0 0 10px 0;overflow:auto;}
#patch .propset .diff, #patch .binary .diff  {padding:10px 0;}
#patch span {display:block;padding:0 10px;}
#patch .modfile, #patch .addfile, #patch .delfile, #patch .propset, #patch .binary, #patch .copfile {border:1px solid #ccc;margin:10px 0;}
#patch ins {background:#dfd;text-decoration:none;display:block;padding:0 10px;}
#patch del {background:#fdd;text-decoration:none;display:block;padding:0 10px;}
#patch .lines, .info {color:#888;background:#fff;}
--></style>
<div id="msg">
<dl class="meta">
<dt>Revision</dt> <dd><a href="http://trac.webkit.org/projects/webkit/changeset/243277">243277</a></dd>
<dt>Author</dt> <dd>sbarati@apple.com</dd>
<dt>Date</dt> <dd>2019-03-20 22:41:21 -0700 (Wed, 20 Mar 2019)</dd>
</dl>

<h3>Log Message</h3>
<pre>typeOfDoubleSum is wrong for when NaN can be produced
https://bugs.webkit.org/show_bug.cgi?id=196030

Reviewed by Filip Pizlo.

JSTests:

* stress/double-add-sub-mul-can-produce-nan.js: Added.
(assert):
(noInline.sub):
(noInline):
(assert.mul):
(assert.add):

Source/JavaScriptCore:

We were using typeOfDoubleSum(SpeculatedType, SpeculatedType) for add/sub/mul.
It assumed that the only way the resulting type could be NaN is if one of
the inputs were NaN. However, this is wrong. NaN can be produced in at least
these cases:
  Infinity - Infinity
  Infinity + (-Infinity)
  Infinity * 0

* bytecode/SpeculatedType.cpp:
(JSC::typeOfDoubleSumOrDifferenceOrProduct):
(JSC::typeOfDoubleSum):
(JSC::typeOfDoubleDifference):
(JSC::typeOfDoubleProduct):</pre>

<h3>Modified Paths</h3>
<ul>
<li><a href="#trunkJSTestsChangeLog">trunk/JSTests/ChangeLog</a></li>
<li><a href="#trunkSourceJavaScriptCoreChangeLog">trunk/Source/JavaScriptCore/ChangeLog</a></li>
<li><a href="#trunkSourceJavaScriptCorebytecodeSpeculatedTypecpp">trunk/Source/JavaScriptCore/bytecode/SpeculatedType.cpp</a></li>
</ul>

<h3>Added Paths</h3>
<ul>
<li><a href="#trunkJSTestsstressdoubleaddsubmulcanproducenanjs">trunk/JSTests/stress/double-add-sub-mul-can-produce-nan.js</a></li>
</ul>

</div>
<div id="patch">
<h3>Diff</h3>
<a id="trunkJSTestsChangeLog"></a>
<div class="modfile"><h4>Modified: trunk/JSTests/ChangeLog (243276 => 243277)</h4>
<pre class="diff"><span>
<span class="info">--- trunk/JSTests/ChangeLog  2019-03-21 04:38:29 UTC (rev 243276)
+++ trunk/JSTests/ChangeLog     2019-03-21 05:41:21 UTC (rev 243277)
</span><span class="lines">@@ -1,3 +1,17 @@
</span><ins>+2019-03-20  Saam Barati  <sbarati@apple.com>
+
+        typeOfDoubleSum is wrong for when NaN can be produced
+        https://bugs.webkit.org/show_bug.cgi?id=196030
+
+        Reviewed by Filip Pizlo.
+
+        * stress/double-add-sub-mul-can-produce-nan.js: Added.
+        (assert):
+        (noInline.sub):
+        (noInline):
+        (assert.mul):
+        (assert.add):
+
</ins><span class="cx"> 2019-03-20  Yusuke Suzuki  <ysuzuki@apple.com>
</span><span class="cx"> 
</span><span class="cx">         Update the test to ensure OutOfMemoryError is thrown as intended
</span></span></pre></div>
<a id="trunkJSTestsstressdoubleaddsubmulcanproducenanjs"></a>
<div class="addfile"><h4>Added: trunk/JSTests/stress/double-add-sub-mul-can-produce-nan.js (0 => 243277)</h4>
<pre class="diff"><span>
<span class="info">--- trunk/JSTests/stress/double-add-sub-mul-can-produce-nan.js                               (rev 0)
+++ trunk/JSTests/stress/double-add-sub-mul-can-produce-nan.js  2019-03-21 05:41:21 UTC (rev 243277)
</span><span class="lines">@@ -0,0 +1,77 @@
</span><ins>+"use strict";
+
+function assert(b) {
+    if (!b)
+        throw new Error;
+}
+noInline(assert);
+
+{
+    function sub(arr, b, c) {
+        let x = b - c;
+        arr[0] = x;
+    }
+    noInline(sub);
+
+
+    for (let i = 0; i < 10000; ++i) {
+        let arr = [];
+        arr.length = 2;
+        arr[1] = 10.5;
+        sub(arr, 10.5, 20.5);
+        assert(0 in arr);
+    }
+
+    let arr = [];
+    arr.length = 2;
+    arr[1] = 10.5;
+    sub(arr, Infinity, Infinity);
+    assert(typeof arr[0] === "number" && isNaN(arr[0]));
+    assert(0 in arr);
+}
+
+{
+    function mul(arr, b, c) {
+        let x = b * c;
+        arr[0] = x;
+    }
+    noInline(mul);
+
+    for (let i = 0; i < 10000; ++i) {
+        let arr = [];
+        arr.length = 2;
+        arr[1] = 10.5;
+        mul(arr, 10.5, 20.5);
+        assert(0 in arr);
+    }
+
+    let arr = [];
+    arr.length = 2;
+    arr[1] = 10.5;
+    mul(arr, Infinity, 0);
+    assert(typeof arr[0] === "number" && isNaN(arr[0]));
+    assert(0 in arr);
+}
+
+{
+    function add(arr, b, c) {
+        let x = b + c;
+        arr[0] = x;
+    }
+    noInline(add);
+
+    for (let i = 0; i < 10000; ++i) {
+        let arr = [];
+        arr.length = 2;
+        arr[1] = 10.5;
+        add(arr, 10.5, 20.5);
+        assert(0 in arr);
+    }
+
+    let arr = [];
+    arr.length = 2;
+    arr[1] = 10.5;
+    add(arr, Infinity, -Infinity);
+    assert(typeof arr[0] === "number" && isNaN(arr[0]));
+    assert(0 in arr);
+}
</ins></span></pre></div>
<a id="trunkSourceJavaScriptCoreChangeLog"></a>
<div class="modfile"><h4>Modified: trunk/Source/JavaScriptCore/ChangeLog (243276 => 243277)</h4>
<pre class="diff"><span>
<span class="info">--- trunk/Source/JavaScriptCore/ChangeLog    2019-03-21 04:38:29 UTC (rev 243276)
+++ trunk/Source/JavaScriptCore/ChangeLog       2019-03-21 05:41:21 UTC (rev 243277)
</span><span class="lines">@@ -1,3 +1,24 @@
</span><ins>+2019-03-20  Saam Barati  <sbarati@apple.com>
+
+        typeOfDoubleSum is wrong for when NaN can be produced
+        https://bugs.webkit.org/show_bug.cgi?id=196030
+
+        Reviewed by Filip Pizlo.
+
+        We were using typeOfDoubleSum(SpeculatedType, SpeculatedType) for add/sub/mul.
+        It assumed that the only way the resulting type could be NaN is if one of
+        the inputs were NaN. However, this is wrong. NaN can be produced in at least
+        these cases:
+          Infinity - Infinity
+          Infinity + (-Infinity)
+          Infinity * 0
+
+        * bytecode/SpeculatedType.cpp:
+        (JSC::typeOfDoubleSumOrDifferenceOrProduct):
+        (JSC::typeOfDoubleSum):
+        (JSC::typeOfDoubleDifference):
+        (JSC::typeOfDoubleProduct):
+
</ins><span class="cx"> 2019-03-20  Simon Fraser  <simon.fraser@apple.com>
</span><span class="cx"> 
</span><span class="cx">         Rename ENABLE_ACCELERATED_OVERFLOW_SCROLLING macro to ENABLE_OVERFLOW_SCROLLING_TOUCH
</span></span></pre></div>
<a id="trunkSourceJavaScriptCorebytecodeSpeculatedTypecpp"></a>
<div class="modfile"><h4>Modified: trunk/Source/JavaScriptCore/bytecode/SpeculatedType.cpp (243276 => 243277)</h4>
<pre class="diff"><span>
<span class="info">--- trunk/Source/JavaScriptCore/bytecode/SpeculatedType.cpp  2019-03-21 04:38:29 UTC (rev 243276)
+++ trunk/Source/JavaScriptCore/bytecode/SpeculatedType.cpp     2019-03-21 05:41:21 UTC (rev 243277)
</span><span class="lines">@@ -612,9 +612,18 @@
</span><span class="cx">     return !!(a & b);
</span><span class="cx"> }
</span><span class="cx"> 
</span><del>-SpeculatedType typeOfDoubleSum(SpeculatedType a, SpeculatedType b)
</del><ins>+static SpeculatedType typeOfDoubleSumOrDifferenceOrProduct(SpeculatedType a, SpeculatedType b)
</ins><span class="cx"> {
</span><span class="cx">     SpeculatedType result = a | b;
</span><ins>+
+    if (result & SpecNonIntAsDouble) {
+        // NaN can be produced by:
+        // Infinity - Infinity
+        // Infinity + (-Infinity)
+        // Infinity * 0
+        result |= SpecDoublePureNaN;
+    }
+
</ins><span class="cx">     // Impure NaN could become pure NaN during addition because addition may clear bits.
</span><span class="cx">     if (result & SpecDoubleImpureNaN)
</span><span class="cx">         result |= SpecDoublePureNaN;
</span><span class="lines">@@ -624,14 +633,19 @@
</span><span class="cx">     return result;
</span><span class="cx"> }
</span><span class="cx"> 
</span><ins>+SpeculatedType typeOfDoubleSum(SpeculatedType a, SpeculatedType b)
+{
+    return typeOfDoubleSumOrDifferenceOrProduct(a, b);
+}
+
</ins><span class="cx"> SpeculatedType typeOfDoubleDifference(SpeculatedType a, SpeculatedType b)
</span><span class="cx"> {
</span><del>-    return typeOfDoubleSum(a, b);
</del><ins>+    return typeOfDoubleSumOrDifferenceOrProduct(a, b);
</ins><span class="cx"> }
</span><span class="cx"> 
</span><span class="cx"> SpeculatedType typeOfDoubleProduct(SpeculatedType a, SpeculatedType b)
</span><span class="cx"> {
</span><del>-    return typeOfDoubleSum(a, b);
</del><ins>+    return typeOfDoubleSumOrDifferenceOrProduct(a, b);
</ins><span class="cx"> }
</span><span class="cx"> 
</span><span class="cx"> static SpeculatedType polluteDouble(SpeculatedType value)
</span></span></pre>
</div>
</div>

</body>
</html>