Chromium

Uma grave vulnerabilidade de segurança, identificada como Brash, foi descoberta no mecanismo de renderização Blink, utilizado por navegadores baseados no Chromium, como Google Chrome e Microsoft Edge. Essa falha permite que um cibercriminoso provoque travamentos em qualquer navegador Chromium em um intervalo de 15 a 60 segundos, explorando a falta de limitação de taxa na API document.title do JavaScript. Com isso, é possível gerar milhões de mutações no DOM por segundo, saturando o sistema e levando ao colapso do navegador. A gravidade da situação é acentuada pelo fato de que o Google Chrome possui cerca de três bilhões de usuários ativos globalmente. O pesquisador Jose Pino, que descobriu a falha, alertou que ela pode ser programada para ser ativada em um momento específico, aumentando ainda mais o risco. O Google e outras empresas de navegadores já foram notificados e estão trabalhando em soluções. Durante os testes, navegadores como Mozilla Firefox e Safari não foram afetados pela vulnerabilidade.

Uma vulnerabilidade severa foi descoberta no motor de renderização Blink do Chromium, permitindo que navegadores baseados em Chromium, como Google Chrome e Microsoft Edge, sejam explorados para falhar em questão de segundos. O pesquisador de segurança Jose Pino, que revelou a falha, a nomeou de Brash. Essa vulnerabilidade se origina da falta de limitação de taxa nas atualizações da API ‘document.title’, permitindo que milhões de mutações do modelo de objeto do documento (DOM) sejam enviadas por segundo, levando o navegador a travar e degradar o desempenho do sistema. O ataque ocorre em três etapas: geração de hash, injeção em rajadas de atualizações e saturação da thread da interface do usuário, resultando em um navegador não responsivo. Além disso, Brash pode ser programada para ser ativada em momentos específicos, funcionando como uma bomba lógica. A falha afeta todos os navegadores baseados em Chromium, enquanto o Mozilla Firefox e o Apple Safari estão imunes. A equipe do Hacker News entrou em contato com o Google para obter mais informações sobre a correção.

Pesquisadores de segurança identificaram uma falha crítica na arquitetura do motor de renderização Blink, que afeta navegadores baseados em Chromium, como Chrome, Edge, Brave e Opera, colocando mais de 3 bilhões de usuários em risco de ataques de negação de serviço (DoS). Denominada Brash, a vulnerabilidade permite que atacantes incapacitem completamente esses navegadores em apenas 15 a 60 segundos, utilizando técnicas simples de injeção de código. O ataque explora a ausência de limitação de taxa na API document.title, inundando o navegador com milhões de solicitações de atualização de título por segundo, o que sobrecarrega o thread principal do navegador e provoca um colapso do sistema. Testes mostraram que todos os navegadores baseados em Chromium são vulneráveis, enquanto Firefox e Safari permanecem imunes devido a arquiteturas de renderização diferentes. As consequências vão além da simples inconveniência, afetando o desempenho do sistema e podendo interromper operações críticas em setores como saúde e finanças. A vulnerabilidade ainda não foi corrigida, e patches estão em desenvolvimento, o que exige atenção imediata dos usuários e administradores de sistemas.