
安全研究员Jose Pino近日披露了一个名为“Brash”的高危漏洞,该漏洞波及所有基于Chromium 143.0.7483.0及更早版本内核的浏览器。鉴于Chromium在全球浏览器市场的广泛普及,预计将有超过30亿台设备面临潜在威胁。
这一漏洞植根于Chromium项目的核心组件——Blink渲染引擎,该引擎负责网页内容的解析与呈现。Pino指出,漏洞源于引擎在处理特定DOM操作时存在的架构设计缺陷,特别是在响应document.title属性更新时,系统未设置任何调用频率限制机制。
攻击者可利用这一缺陷,通过脚本每秒发起数百万次DOM变更请求,迅速耗尽浏览器主线程的处理能力,扰乱事件循环机制,导致浏览器界面完全冻结。一旦被触发,受影响的浏览器通常在15至60秒内失去响应,虽然可通过关闭窗口恢复,但在高负载环境下甚至可能引发整个系统短暂瘫痪。
目前用户可通过访问测试页面brash.run检测自身浏览器是否存在风险。值得注意的是,采用非Chromium内核的浏览器(如Firefox和Safari)不受此漏洞影响。
Jose Pino已在GitHub平台公开了漏洞的技术细节。相关厂商已获知该问题,最新确认正在对此展开调查,但截至当前尚未发布正式修复补丁或更新版本。
