10月31日,安全研究员Jose Pino披露了一个名为"Brash"的安全漏洞,该漏洞存在于Chromium 143.0.7483.0及以下版本的所有基于Chromium内核的浏览器中。
这意味着包括Chrome、Edge、Opera、Vivaldi、Arc和Brave等主流桌面及移动浏览器均受到影响。鉴于Chromium在浏览器市场的主导地位,预估全球超过30亿台设备面临安全威胁。
Brash漏洞源于Blink渲染引擎内部架构缺陷。作为Google Chromium的核心组件,据Pino介绍,攻击者可利用Blink引擎在处理特定DOM操作时的设计缺陷实施攻击。
攻击者通过浏览器对document.title API更新操作"完全缺乏速率限制"这一特点,每秒可注入数百万次DOM突变,瞬间耗尽浏览器主线程资源,扰乱事件循环机制,最终导致浏览器界面完全崩溃。
一旦触发Brash漏洞,受影响的浏览器将在15至60秒内彻底卡死。虽然关闭浏览器窗口即可恢复,但在某些情况下,可能导致整个计算机系统瘫痪。
用户可通过访问专门测试页面brash.run验证自己的浏览器是否受到影响。需要注意的是,非Chromium内核浏览器如Firefox和Safari完全不受此漏洞影响。
目前Pino已在GitHub上公开了Brash漏洞的详细技术文档,Google已确认正在调查此事,但尚未发布任何补丁或修复方案。

