Uma vulnerabilidade crítica descoberta no mecanismo de renderização Blink, usado pelo Chromium, está deixando diversos navegadores populares vulneráveis a travamentos em questão de segundos.

O pesquisador de segurança Jose Pino, responsável pela descoberta, batizou a falha de “Brash”, destacando seu potencial de causar colapsos rápidos em navegadores como Chrome, Edge, Brave, Opera e Vivaldi.

“Ela permite que qualquer navegador baseado no Chromium trave em 15 a 60 segundos, explorando uma falha arquitetônica na forma como certas operações do DOM são gerenciadas”, explicou Pino em sua análise técnica.

Leia mais:

Como o ataque funciona

• Segundo o pesquisador, o Brash explora a ausência de limitação de taxa nas atualizações da API document.title.
• Isso permite que uma página envie milhões de mutações do DOM por segundo, sobrecarregando a CPU e levando o navegador a travar.
• O ataque ocorre em três fases: geração de dados em memória, injeção massiva de atualizações e saturação da thread principal da interface, que deixa de responder e precisa ser encerrada à força.

Um aspecto especialmente perigoso é a capacidade de o ataque ser programado para ocorrer em horários específicos, agindo como uma “bomba lógica” digital. “Essa capacidade de sincronização transforma o Brash em uma arma de precisão temporal”, alertou Pino.

Navegadores afetados e impacto

A falha afeta todos os navegadores baseados no Chromium, incluindo Google Chrome, Microsoft Edge, Brave, Opera, Vivaldi, Arc Browser, Dia Browser, além de versões web de assistentes como ChatGPT Atlas e Perplexity Comet.

Já o Mozilla Firefox e o Apple Safari estão protegidos, pois utilizam mecanismos diferentes.

O Google ainda não se pronunciou oficialmente sobre a vulnerabilidade ou sobre possíveis atualizações de segurança. O site The Hacker News, que divulgou o estudo, informou que aguarda um retorno da empresa sobre as medidas corretivas em andamento.