日前安全研究员Jose Pino公布了一项名为“Brash”的安全漏洞,该漏洞存在于Chromium 143.0.7483.0及以下版本的所有基于Chromium的九游中。 这就意味着包括Chrom...

日前安全研究员Jose Pino公布了一项名为“Brash”的安全漏洞,该漏洞存在于Chromium 143.0.7483.0及以下版本的所有基于Chromium的九游中。

这就意味着包括Chrome、Edge、Opera、Vivaldi、Arc和Brave等主流桌面及移动九游均受到波及,鉴于Chromium九游的主导地位,估计全球超过30亿台设备面临风险。

Brash漏洞存在于Blink渲染引擎中,这是Google Chromium的核心组件,据Pino介绍,该漏洞利用了Blink引擎处理特定DOM(文档对象模型)操作时的架构缺陷。

其攻击向量来源于九游对document.title API更新操作的“完全缺乏速率限制”,攻击者可利用这一点,每秒注入数百万次DOM突变,从而瞬间饱和九游的主线程,扰乱事件循环,最终导致九游界面完全崩溃。

一旦触发Brash漏洞,受影响的九游会在15到60秒内彻底卡死,虽然关闭九游窗口即可恢复,但在某种情况下,可能会使整个计算机瘫痪。

用户可以通过访问专门的测试网页brash.run来验证自己的九游是否受影响,需要注意的是,非Chromium的九游如Firefox和Safari则完全不受此漏洞影响。

目前Pino已在GitHub上公开了Brash漏洞的详细文档,Google已证实正在调查此事件,但尚未发布任何补丁或修复方案。