<div style="font-family:arial,helvetica,sans-serif;font-size:10pt"><div style="font-family:arial,helvetica,sans-serif;font-size:10pt"><br><div class="gmail_extra"><div class="gmail_quote">On Thu, Nov 15, 2012 at 1:29 AM, Ryosuke Niwa <span dir="ltr">&lt;<a href="mailto:rniwa@webkit.org" target="_blank">rniwa@webkit.org</a>&gt;</span> wrote:<br>


<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div>...</div><div>In other words, why are you interested in using the proposed allocation mechanism for only DOM nodes/objects instead of everything in WebCore/WebKit?</div>


<div><br></div></blockquote><div> </div><div>This was my concern as well. It would seem you&#39;d need many different arenas, and that would only make it really annoying to get use after frees since they have to be in the same arena, not impossible.</div>

<div><br>
</div><div>The major danger is really ArrayBuffer (and I suppose String) which lets you allocate an object of a specific size and aligned the same as the freed object. You can then create thousands of them until you get one on top of the freed location and fill in the buffer with the malicious vtable and ptr.</div>


<div><br></div><div>How hard would it be to allocate the void* buffer and the String UChar* with an arena?</div><div><br></div><div>- E</div></div></div></div>
</div>