<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.1//EN"
"http://www.w3.org/TR/xhtml11/DTD/xhtml11.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head><meta http-equiv="content-type" content="text/html; charset=utf-8" />
<title>[281843] trunk/Source/JavaScriptCore</title>
</head>
<body>

<style type="text/css"><!--
#msg dl.meta { border: 1px #006 solid; background: #369; padding: 6px; color: #fff; }
#msg dl.meta dt { float: left; width: 6em; font-weight: bold; }
#msg dt:after { content:':';}
#msg dl, #msg dt, #msg ul, #msg li, #header, #footer, #logmsg { font-family: verdana,arial,helvetica,sans-serif; font-size: 10pt;  }
#msg dl a { font-weight: bold}
#msg dl a:link    { color:#fc3; }
#msg dl a:active  { color:#ff0; }
#msg dl a:visited { color:#cc6; }
h3 { font-family: verdana,arial,helvetica,sans-serif; font-size: 10pt; font-weight: bold; }
#msg pre { overflow: auto; background: #ffc; border: 1px #fa0 solid; padding: 6px; }
#logmsg { background: #ffc; border: 1px #fa0 solid; padding: 1em 1em 0 1em; }
#logmsg p, #logmsg pre, #logmsg blockquote { margin: 0 0 1em 0; }
#logmsg p, #logmsg li, #logmsg dt, #logmsg dd { line-height: 14pt; }
#logmsg h1, #logmsg h2, #logmsg h3, #logmsg h4, #logmsg h5, #logmsg h6 { margin: .5em 0; }
#logmsg h1:first-child, #logmsg h2:first-child, #logmsg h3:first-child, #logmsg h4:first-child, #logmsg h5:first-child, #logmsg h6:first-child { margin-top: 0; }
#logmsg ul, #logmsg ol { padding: 0; list-style-position: inside; margin: 0 0 0 1em; }
#logmsg ul { text-indent: -1em; padding-left: 1em; }#logmsg ol { text-indent: -1.5em; padding-left: 1.5em; }
#logmsg > ul, #logmsg > ol { margin: 0 0 1em 0; }
#logmsg pre { background: #eee; padding: 1em; }
#logmsg blockquote { border: 1px solid #fa0; border-left-width: 10px; padding: 1em 1em 0 1em; background: white;}
#logmsg dl { margin: 0; }
#logmsg dt { font-weight: bold; }
#logmsg dd { margin: 0; padding: 0 0 0.5em 0; }
#logmsg dd:before { content:'\00bb';}
#logmsg table { border-spacing: 0px; border-collapse: collapse; border-top: 4px solid #fa0; border-bottom: 1px solid #fa0; background: #fff; }
#logmsg table th { text-align: left; font-weight: normal; padding: 0.2em 0.5em; border-top: 1px dotted #fa0; }
#logmsg table td { text-align: right; border-top: 1px dotted #fa0; padding: 0.2em 0.5em; }
#logmsg table thead th { text-align: center; border-bottom: 1px solid #fa0; }
#logmsg table th.Corner { text-align: left; }
#logmsg hr { border: none 0; border-top: 2px dashed #fa0; height: 1px; }
#header, #footer { color: #fff; background: #636; border: 1px #300 solid; padding: 6px; }
#patch { width: 100%; }
#patch h4 {font-family: verdana,arial,helvetica,sans-serif;font-size:10pt;padding:8px;background:#369;color:#fff;margin:0;}
#patch .propset h4, #patch .binary h4 {margin:0;}
#patch pre {padding:0;line-height:1.2em;margin:0;}
#patch .diff {width:100%;background:#eee;padding: 0 0 10px 0;overflow:auto;}
#patch .propset .diff, #patch .binary .diff  {padding:10px 0;}
#patch span {display:block;padding:0 10px;}
#patch .modfile, #patch .addfile, #patch .delfile, #patch .propset, #patch .binary, #patch .copfile {border:1px solid #ccc;margin:10px 0;}
#patch ins {background:#dfd;text-decoration:none;display:block;padding:0 10px;}
#patch del {background:#fdd;text-decoration:none;display:block;padding:0 10px;}
#patch .lines, .info {color:#888;background:#fff;}
--></style>
<div id="msg">
<dl class="meta">
<dt>Revision</dt> <dd><a href="http://trac.webkit.org/projects/webkit/changeset/281843">281843</a></dd>
<dt>Author</dt> <dd>commit-queue@webkit.org</dd>
<dt>Date</dt> <dd>2021-09-01 02:03:46 -0700 (Wed, 01 Sep 2021)</dd>
</dl>

<h3>Log Message</h3>
<pre>REGRESSION(<a href="http://trac.webkit.org/projects/webkit/changeset/279256">r279256</a>): Crash in JSC::FTL::saveAllRegisters
https://bugs.webkit.org/show_bug.cgi?id=229235
<rdar://problem/82337517>

Patch by Zan Dobersek <zdobersek@igalia.com> on 2021-09-01
Reviewed by Mark Lam.

Avoid out-of-bounds access into RegisterSet's underlying Bitmap that
occurs in FTL::saveAllRegisters() and FTL::restoreAllRegisters(). Helper
Regs::nextRegister() and Regs::nextFPRegister() methods can increase the
register ID values beyond the valid values, at which point there's a
possibility of misuse if these register ID values are used to index into
the Bitmap.

To avoid this, iterating over RegisterID and FPRegisterID ranges is
simplified yet kept efficient, and access into the RegisterSet is now
only done if the register ID values are valid.

This enables removing Regs::nextFPRegister(). Regs::nextRegister() is
still used but is not adjusted to also use a for-loop to iterate across
the valid RegisterID values, and only for those values the access into
the RegisterSet is possible.

* ftl/FTLSaveRestore.cpp:
(JSC::FTL::saveAllRegisters):
(JSC::FTL::restoreAllRegisters):</pre>

<h3>Modified Paths</h3>
<ul>
<li><a href="#trunkSourceJavaScriptCoreChangeLog">trunk/Source/JavaScriptCore/ChangeLog</a></li>
<li><a href="#trunkSourceJavaScriptCoreftlFTLSaveRestorecpp">trunk/Source/JavaScriptCore/ftl/FTLSaveRestore.cpp</a></li>
</ul>

</div>
<div id="patch">
<h3>Diff</h3>
<a id="trunkSourceJavaScriptCoreChangeLog"></a>
<div class="modfile"><h4>Modified: trunk/Source/JavaScriptCore/ChangeLog (281842 => 281843)</h4>
<pre class="diff"><span>
<span class="info">--- trunk/Source/JavaScriptCore/ChangeLog    2021-09-01 08:59:44 UTC (rev 281842)
+++ trunk/Source/JavaScriptCore/ChangeLog       2021-09-01 09:03:46 UTC (rev 281843)
</span><span class="lines">@@ -1,3 +1,31 @@
</span><ins>+2021-09-01  Zan Dobersek  <zdobersek@igalia.com>
+
+        REGRESSION(r279256): Crash in JSC::FTL::saveAllRegisters
+        https://bugs.webkit.org/show_bug.cgi?id=229235
+        <rdar://problem/82337517>
+
+        Reviewed by Mark Lam.
+
+        Avoid out-of-bounds access into RegisterSet's underlying Bitmap that
+        occurs in FTL::saveAllRegisters() and FTL::restoreAllRegisters(). Helper
+        Regs::nextRegister() and Regs::nextFPRegister() methods can increase the
+        register ID values beyond the valid values, at which point there's a
+        possibility of misuse if these register ID values are used to index into
+        the Bitmap.
+
+        To avoid this, iterating over RegisterID and FPRegisterID ranges is
+        simplified yet kept efficient, and access into the RegisterSet is now
+        only done if the register ID values are valid.
+
+        This enables removing Regs::nextFPRegister(). Regs::nextRegister() is
+        still used but is not adjusted to also use a for-loop to iterate across
+        the valid RegisterID values, and only for those values the access into
+        the RegisterSet is possible.
+
+        * ftl/FTLSaveRestore.cpp:
+        (JSC::FTL::saveAllRegisters):
+        (JSC::FTL::restoreAllRegisters):
+
</ins><span class="cx"> 2021-08-31  Ross Kirsling  <ross.kirsling@sony.com>
</span><span class="cx"> 
</span><span class="cx">         [JSC] Implement Temporal.Duration
</span></span></pre></div>
<a id="trunkSourceJavaScriptCoreftlFTLSaveRestorecpp"></a>
<div class="modfile"><h4>Modified: trunk/Source/JavaScriptCore/ftl/FTLSaveRestore.cpp (281842 => 281843)</h4>
<pre class="diff"><span>
<span class="info">--- trunk/Source/JavaScriptCore/ftl/FTLSaveRestore.cpp       2021-09-01 08:59:44 UTC (rev 281842)
+++ trunk/Source/JavaScriptCore/ftl/FTLSaveRestore.cpp  2021-09-01 09:03:46 UTC (rev 281843)
</span><span class="lines">@@ -87,19 +87,13 @@
</span><span class="cx">     GPRReg nextRegister(GPRReg current)
</span><span class="cx">     {
</span><span class="cx">         auto next = MacroAssembler::nextRegister(current);
</span><del>-        while (special.get(next))
-            next = MacroAssembler::nextRegister(next);
</del><ins>+        for (; next <= MacroAssembler::lastRegister(); next = MacroAssembler::nextRegister(next)) {
+            if (!special.get(next))
+                break;
+        }
</ins><span class="cx">         return next;
</span><span class="cx">     }
</span><span class="cx"> 
</span><del>-    FPRReg nextFPRegister(FPRReg current)
-    {
-        auto next = MacroAssembler::nextFPRegister(current);
-        while (special.get(next))
-            next = MacroAssembler::nextFPRegister(next);
-        return next;
-    }
-
</del><span class="cx">     RegisterSet special;
</span><span class="cx">     GPRReg first;
</span><span class="cx"> };
</span><span class="lines">@@ -126,8 +120,11 @@
</span><span class="cx">     AssemblyHelpers::StoreRegSpooler spooler(jit, baseGPR);
</span><span class="cx"> 
</span><span class="cx">     // Get all of the other GPRs out of the way.
</span><del>-    for (GPRReg reg = firstToSaveGPR; reg <= MacroAssembler::lastRegister(); reg = regs.nextRegister(reg))
</del><ins>+    for (MacroAssembler::RegisterID reg = firstToSaveGPR; reg <= MacroAssembler::lastRegister(); reg = MacroAssembler::nextRegister(reg)) {
+        if (regs.special.get(reg))
+            continue;
</ins><span class="cx">         spooler.storeGPR({ reg, static_cast<ptrdiff_t>(offsetOfGPR(reg)) });
</span><ins>+    }
</ins><span class="cx">     spooler.finalizeGPR();
</span><span class="cx">     
</span><span class="cx">     // Restore the first register into the second one and save it.
</span><span class="lines">@@ -139,8 +136,11 @@
</span><span class="cx"> #endif
</span><span class="cx">     
</span><span class="cx">     // Finally save all FPR's.
</span><del>-    for (MacroAssembler::FPRegisterID reg = MacroAssembler::firstFPRegister(); reg <= MacroAssembler::lastFPRegister(); reg = regs.nextFPRegister(reg))
</del><ins>+    for (MacroAssembler::FPRegisterID reg = MacroAssembler::firstFPRegister(); reg <= MacroAssembler::lastFPRegister(); reg = MacroAssembler::nextFPRegister(reg)) {
+        if (regs.special.get(reg))
+            continue;
</ins><span class="cx">         spooler.storeFPR({ reg, static_cast<ptrdiff_t>(offsetOfFPR(reg)) });
</span><ins>+    }
</ins><span class="cx">     spooler.finalizeFPR();
</span><span class="cx"> }
</span><span class="cx"> 
</span><span class="lines">@@ -155,8 +155,11 @@
</span><span class="cx">     AssemblyHelpers::LoadRegSpooler spooler(jit, baseGPR);
</span><span class="cx"> 
</span><span class="cx">     // Restore all FPR's.
</span><del>-    for (MacroAssembler::FPRegisterID reg = MacroAssembler::firstFPRegister(); reg <= MacroAssembler::lastFPRegister(); reg = regs.nextFPRegister(reg))
</del><ins>+    for (MacroAssembler::FPRegisterID reg = MacroAssembler::firstFPRegister(); reg <= MacroAssembler::lastFPRegister(); reg = MacroAssembler::nextFPRegister(reg)) {
+        if (regs.special.get(reg))
+            continue;
</ins><span class="cx">         spooler.loadFPR({ reg, static_cast<ptrdiff_t>(offsetOfFPR(reg)) });
</span><ins>+    }
</ins><span class="cx">     spooler.finalizeFPR();
</span><span class="cx">     
</span><span class="cx"> #if CPU(ARM64)
</span><span class="lines">@@ -167,8 +170,11 @@
</span><span class="cx"> #else
</span><span class="cx">     GPRReg firstToRestoreGPR = regs.nextRegister(baseGPR);
</span><span class="cx"> #endif
</span><del>-    for (MacroAssembler::RegisterID reg = firstToRestoreGPR; reg <= MacroAssembler::lastRegister(); reg = regs.nextRegister(reg))
</del><ins>+    for (MacroAssembler::RegisterID reg = firstToRestoreGPR; reg <= MacroAssembler::lastRegister(); reg = MacroAssembler::nextRegister(reg)) {
+        if (regs.special.get(reg))
+            continue;
</ins><span class="cx">         spooler.loadGPR({ reg, static_cast<ptrdiff_t>(offsetOfGPR(reg)) });
</span><ins>+    }
</ins><span class="cx">     spooler.finalizeGPR();
</span><span class="cx"> 
</span><span class="cx"> #if CPU(ARM64)
</span></span></pre>
</div>
</div>

</body>
</html>