安全研究员Jose Pino近日披露了一个名为“Brash”的安全漏洞,该问题影响所有基于Chromium 143.0.7483.0及更早版本的浏览器产品。由于Chromium架构被广泛采用,包括Chrome、Edge、Opera、Vivaldi、Arc和Brave在内的主流桌面与移动浏览器均存在潜在风险。考虑到此类浏览器在全球范围内的普及程度,预计超过30亿台设备可能受到波及。

该漏洞根植于Blink渲染引擎,这是Chromium项目的核心组成部分。根据研究人员的分析,Brash利用了Blink在处理特定DOM操作时存在的架构缺陷。攻击的关键在于document.title API在更新过程中完全缺乏速率限制机制,使得恶意页面能够以极高速度反复修改页面标题。

攻击者可借此每秒触发数百万次DOM变更,迅速耗尽浏览器主线程的处理能力,打乱事件循环的正常调度,最终导致浏览器界面无响应甚至完全冻结。实验表明,一旦遭遇此类攻击,受影响的浏览器通常在15至60秒内即陷入瘫痪状态。尽管关闭浏览器窗口可恢复系统功能,但在某些系统环境下,极端资源占用甚至可能导致操作系统层面的短暂失控。

为帮助用户判断自身设备是否受影响,研究人员上线了测试页面brash.run,访问该页面后可直观观察浏览器的表现。需要明确的是,未采用Chromium内核的浏览器,如Firefox和Safari,不受此漏洞威胁。

目前,相关技术细节已在GitHub平台公开,旨在推动行业共同关注与防御。Google方面已确认收到报告并启动调查,但截至当前尚未推出正式补丁或修复版本。