Уязвимость в движке Blink может вывести из строя браузеры на базе Chromium

Исследователь кибербезопасности Хосе Пино выявил серьёзную уязвимость Brash в движке Blink, которая позволяет быстро вывести из строя многие браузеры на базе Chromium или спровоцировать падение всей системы. Он опубликовал PoC-эксплойт.

Проблема в том, что Blink не ограничивает частоту обновлений API document.title. Это позволяет генерировать миллионы мутаций DOM в секунду, чтобы экстренно завершать работу браузера и снижать производительность системы за счёт отвлечения мощностей CPU.

«Это позволяет “уронить” любой Chromium-браузер за 15–60 секунд за счёт архитектурной ошибки в управлении некоторыми операциями DOM», — поясняет Пино.

Чтобы провести атаку, хакеру требуется загрузить в память 100 уникальных шестнадцатеричных строк по 512 символов в качестве базы для циклической смены заголовка вкладки. Затем выполняются серии по три обновления подряд в document.title, что при конфигурации по умолчанию (burst: 8000, interval: 1 ms) даст 24 млн обновлений в секунду. Эти непрерывные апдейты загружают главный поток браузера, и интерфейс перестает отвечать.

По мнению Пино, опасность Brash заключается в том, что атаку можно точно активировать по времени. Для этого будет достаточно клика по специально подготовленной ссылке.

Проблема затрагивает версии Chromium, начиная с 143.0.7483.0. Пино протестировал PoC-эксплойт на 11 браузерах для Android, macOS, Windows и Linux. В итоге девять из них оказались уязвимы, в том числе Microsoft Edge, Brave, Opera, Vivaldi, Arc Browser, Dia Browser, OpenAI ChatGPT Atlas и Perplexity Comet. При этом перед атаками устояли Firefox и Safari, которые используют другие движки. Также оказались защищены все браузеры для iOS.

Эксперт сообщил о баге команде Chromium в августе 2025 года, но так и не получил