[iOS] Disable permissive call logging in sandbox
authorpvollan@apple.com <pvollan@apple.com@268f45cc-cd09-0410-ab3c-d52691b4dbfc>
Thu, 7 Mar 2019 17:46:12 +0000 (17:46 +0000)
committerpvollan@apple.com <pvollan@apple.com@268f45cc-cd09-0410-ab3c-d52691b4dbfc>
Thu, 7 Mar 2019 17:46:12 +0000 (17:46 +0000)
https://bugs.webkit.org/show_bug.cgi?id=195288
<rdar://problem/47683804>

Reviewed by Brent Fulgham.

As on macOS, we should enable strict call filtering in sandbox on iOS.

* Resources/SandboxProfiles/ios/com.apple.WebKit.WebContent.sb:

git-svn-id: https://svn.webkit.org/repository/webkit/trunk@242600 268f45cc-cd09-0410-ab3c-d52691b4dbfc

Source/WebKit/ChangeLog
Source/WebKit/Resources/SandboxProfiles/ios/com.apple.WebKit.WebContent.sb

index a5bd7a7..ae60d1b 100644 (file)
@@ -1,3 +1,15 @@
+2019-03-07  Per Arne Vollan  <pvollan@apple.com>
+
+        [iOS] Disable permissive call logging in sandbox
+        https://bugs.webkit.org/show_bug.cgi?id=195288
+        <rdar://problem/47683804>
+
+        Reviewed by Brent Fulgham.
+
+        As on macOS, we should enable strict call filtering in sandbox on iOS.
+
+        * Resources/SandboxProfiles/ios/com.apple.WebKit.WebContent.sb:
+
 2019-03-07  Youenn Fablet  <youenn@apple.com>
 
         Introduce a quota manager for Cache API/Service Worker/IDB storage
index 0809544..30f4067 100644 (file)
 )
 
 (when (defined? 'syscall-unix)
-    (allow syscall-unix (with report))
+    (deny syscall-unix (with send-signal SIGKILL))
     (allow syscall-unix
         (syscall-number SYS_exit)
         (syscall-number SYS_read)
         (syscall-number SYS_sem_close)
         (syscall-number SYS_fsetattrlist)
         (syscall-number SYS_guarded_open_dprotected_np) ; <rdar://problem/48166729>
+        (syscall-number SYS_mremap_encrypted)
+        (syscall-number SYS_dup2)
+        (syscall-number SYS_fileport_makefd)
+        (syscall-number SYS_os_fault_with_payload)
+        (syscall-number SYS_persona)
+        (syscall-number SYS_work_interval_ctl)
     )
 )