createRegExpMatchesArray does not respect inferred types
authorsbarati@apple.com <sbarati@apple.com@268f45cc-cd09-0410-ab3c-d52691b4dbfc>
Thu, 4 Apr 2019 21:13:26 +0000 (21:13 +0000)
committersbarati@apple.com <sbarati@apple.com@268f45cc-cd09-0410-ab3c-d52691b4dbfc>
Thu, 4 Apr 2019 21:13:26 +0000 (21:13 +0000)
https://bugs.webkit.org/show_bug.cgi?id=193287

Reviewed by Yusuke Suzuki.

This checks in the test case for 193287. This issue was discovered by
Samuel Groß of Google Project Zero.

* stress/inferred-types-regex-matches-array.js: Added.

git-svn-id: https://svn.webkit.org/repository/webkit/trunk@243906 268f45cc-cd09-0410-ab3c-d52691b4dbfc

JSTests/ChangeLog
JSTests/stress/inferred-types-regex-matches-array.js [new file with mode: 0644]

index bf3bbfb..18c3ecb 100644 (file)
@@ -1,3 +1,15 @@
+2019-04-04  Saam Barati  <sbarati@apple.com>
+
+        createRegExpMatchesArray does not respect inferred types
+        https://bugs.webkit.org/show_bug.cgi?id=193287
+
+        Reviewed by Yusuke Suzuki.
+
+        This checks in the test case for 193287. This issue was discovered by
+        Samuel Groß of Google Project Zero.
+
+        * stress/inferred-types-regex-matches-array.js: Added.
+
 2019-04-04  Saam barati  <sbarati@apple.com>
 
         Teach Call ICs how to call Wasm
diff --git a/JSTests/stress/inferred-types-regex-matches-array.js b/JSTests/stress/inferred-types-regex-matches-array.js
new file mode 100644 (file)
index 0000000..f411212
--- /dev/null
@@ -0,0 +1,48 @@
+let objX = {objProperty: {fetchme: 1234}};
+let objY = {doubleProperty: 2130562.5098039214};
+
+function createArray() {
+    let protoWithIndexedAccessors = {};
+    Object.defineProperty(protoWithIndexedAccessors, 1337, { get() { return 1337; } });
+
+    function helper(i) {
+        let a = new Array;
+        if (i > 0) {
+            Object.setPrototypeOf(a, protoWithIndexedAccessors);
+        }
+        return a;
+    }
+
+    for (let i = 1; i < 10000; i++) {
+        helper(i);
+    }
+    return helper(0);
+}
+
+let obj = {};
+obj.inlineProperty1 = 1337;
+obj.inlineProperty2 = 1338;
+obj.oolProperty1 = objX;
+
+let a = createArray();
+a.index = 42;
+a.input = "foobar";
+a.groups = obj;
+
+global = a;
+global = a;
+
+Object.defineProperty(Array.prototype, 1337, { get() { return 1337; } });
+
+function foo() {
+    return global.groups.oolProperty1.objProperty.fetchme;
+}
+
+for (let i = 0; i < 10000; i++) {
+    foo(i);
+}
+
+let match = "foo".match(/(?<oolProperty1>foo)/);
+match.groups.oolProperty1 = objY;       // This property overlaps with oolProperty1 of structure S3.
+global = match;
+foo();