SVGList::insertItemBefore не проверяет граничных условий индекса, что потенциально может привести к переполнению буфера и выполнению произвольного кода.

Пример html-страницы, обработка которой может вызвать переполнение: http://trac.webkit.org/browser/trunk/LayoutTests/svg/dom/svglist-exception-on-out-bounds-error.html?rev=43590

Исправление присутствует в коммите 43590, также была выпущена новая версия webkit 1.1.7.