安全研究员Jose Pino近日披露了一个名为“Brash”的高危漏洞,影响范围涵盖Chromium 143.0.7483.0及更早版本的所有基于Chromium内核的浏览器。由于Chromium在浏览器市场的广泛使用,全球预计有超过30亿台设备可能面临威胁。

该漏洞根植于Blink渲染引擎,作为Chromium项目的核心组件,Blink负责网页内容的解析与呈现。Pino指出,漏洞成因在于引擎在处理特定DOM操作时存在架构层面的设计缺陷,尤其是在响应document.title属性更新时,系统未设置任何频率限制机制。

攻击者可利用这一缺陷,通过脚本每秒发起数百万次DOM变更请求,迅速耗尽浏览器主线程的处理能力,打乱事件循环机制,导致浏览器界面完全冻结。一旦被触发,受影响的浏览器通常在15至60秒内失去响应,虽可通过关闭窗口恢复,但在高负载情况下,甚至可能引发整个系统的短暂瘫痪。

目前,用户可通过访问测试页面brash.run检测自身浏览器是否存在风险。值得注意的是,采用非Chromium内核的浏览器,如Firefox和Safari,不受此漏洞影响。

Jose Pino已在GitHub平台公开了漏洞的技术细节。相关厂商已获知该问题,官方确认正在对此进行调查,但截至当前,尚未推出正式的修复补丁或更新版本。