关键信息总结 漏洞描述 Bug ID: 526449 标题: FinishSharingTitle should skip fixed slots for slow array 状态: Closed (VERIFIED FIXED) 产品: Core 组件: JavaScript Engine 类型: defect 优先级: Not set 严重性: Normal 漏洞细节 原因: - 慢数组的 错误处理 slot,作为包含GC对象的槽位,在重新解释数组长度为JSString时崩溃。 - 浏览器不能触发此bug,因为浏览器即使使用线程工作者也不能允许线程间共享内容。但有些使用共享对象的扩展能触发此bug。 修复信息 相关版本: 需要修复1.9.2+、4+fixed、alpha1+、1.9.1 附件: 多个补丁版本(v1, v3 for 192, fix for 191) 补丁描述: - v1: 将慢数组类标记为具有 class,利用从 的更改来修复此bug并消除慢数组追踪hack。 - v3 for 192: 1.9.2版本需要轻微的反向移植。 - fix for 191: 修复191的问题,跳过需要的槽位。 其他 团队合作: 多位贡献者参与修复与测试,包括Igor Bukanov、Brendan Eich等。 测试情况: 涉及不同分支和版本的测试(1.9.0、1.9.1、1.9.2等)。