日前安全研究員Jose Pino公布了一項名為「Brash」的安全漏洞,該漏洞存在於Chromium 143.0.7483.0及以下版本的所有基於Chromium的瀏覽器中。
這就意味著包括Chrome、Edge、Opera、Vivaldi、Arc和Brave等主流桌面及移動瀏覽器均受到波及,鑑於Chromium瀏覽器的主導地位,估計全球超過30億台設備面臨風險。
Brash漏洞存在於Blink渲染引擎中,這是Google Chromium的核心組件,據Pino介紹,該漏洞利用了Blink引擎處理特定DOM(文檔對象模型)操作時的架構缺陷。
其攻擊向量來源於瀏覽器對document.title API更新操作的「完全缺乏速率限制」,攻擊者可利用這一點,每秒注入數百萬次DOM突變,從而瞬間飽和瀏覽器的主線程,擾亂事件循環,最終導致瀏覽器界面完全崩潰。
一旦觸發Brash漏洞,受影響的瀏覽器會在15到60秒內徹底卡死,雖然關閉瀏覽器窗口即可恢復,但在某種情況下,可能會使整個電腦癱瘓。
用戶可以通過訪問專門的測試網頁brash.run來驗證自己的瀏覽器是否受影響,需要注意的是,非Chromium的瀏覽器如Firefox和Safari則完全不受此漏洞影響。
目前Pino已在GitHub上公開了Brash漏洞的詳細文檔,Google已證實正在調查此事件,但尚未發布任何補丁或修複方案。
