[macOS] Adjust logging policy in WebKit's sandbox
authorpvollan@apple.com <pvollan@apple.com@268f45cc-cd09-0410-ab3c-d52691b4dbfc>
Tue, 22 Jan 2019 21:22:34 +0000 (21:22 +0000)
committerpvollan@apple.com <pvollan@apple.com@268f45cc-cd09-0410-ab3c-d52691b4dbfc>
Tue, 22 Jan 2019 21:22:34 +0000 (21:22 +0000)
https://bugs.webkit.org/show_bug.cgi?id=193454

Reviewed by Brent Fulgham.

Add a rule to initially deny all calls, since the default is to allow every call.
Later rules allow syscalls that we determined are needed for proper WebKit function.
This reduces the API surface available to attackers.

* WebProcess/com.apple.WebProcess.sb.in:

git-svn-id: https://svn.webkit.org/repository/webkit/trunk@240289 268f45cc-cd09-0410-ab3c-d52691b4dbfc

Source/WebKit/ChangeLog
Source/WebKit/WebProcess/com.apple.WebProcess.sb.in

index 169b3bb..5269f6e 100644 (file)
@@ -1,3 +1,16 @@
+2019-01-22  Per Arne Vollan  <pvollan@apple.com>
+
+        [macOS] Adjust logging policy in WebKit's sandbox
+        https://bugs.webkit.org/show_bug.cgi?id=193454
+
+        Reviewed by Brent Fulgham.
+
+        Add a rule to initially deny all calls, since the default is to allow every call.
+        Later rules allow syscalls that we determined are needed for proper WebKit function.
+        This reduces the API surface available to attackers.
+
+        * WebProcess/com.apple.WebProcess.sb.in:
+
 2019-01-22  Daniel Bates  <dabates@apple.com>
 
         [iOS] WebKit should handle shift state changes when using the software keyboard
index ca74c71..cd9e213 100644 (file)
 #endif // PLATFORM(MAC)
 
 (when (defined? 'syscall-unix)
+    (deny syscall-unix (with termination))
     (allow syscall-unix
         (syscall-number SYS_exit)
         (syscall-number SYS_read)