Uma grave falha de segurança recentemente descoberta no Chromium está colocando em risco a experiência de navegação de bilhões de usuários em todo o mundo. A falha em questão está no mecanismo de renderização Blink, que serve como base para navegadores amplamente utilizados como Chrome e Edge. Essa vulnerabilidade tem o potencial de travar vários browsers em questão de segundos, afetando de forma drástica a usabilidade desses programas.
O responsável por identificar essa falha foi o pesquisador de segurança Jose Pino. Ele relatou que a brecha, denominada Brash, tem a capacidade de provocar um travamento completo de qualquer navegador baseado em Chromium num intervalo de 15 a 60 segundos, explorando uma deficiência na forma como determinadas operações DOM são gerenciadas. Esse problema afeta principalmente o Google Chrome, que de acordo com a União Internacional de Telecomunicações (UIT), possui cerca de três bilhões de usuários ativos no mundo todo. Outros navegadores, como Microsoft Edge, Brave e Vivaldi, também são vulneráveis à mesma falha.
A vulnerabilidade está associada com o uso da API document.title em JavaScript, que é utilizada para nomear sites. Segundo Pino, o problema decorre da ausência de uma limitação na taxa de atualizações permitidas pela API cada vez que o document.title é alterado. Sem essa restrição, um cibercriminoso poderia desencadear milhões de modificações DOM por segundo, sobrecarregando o sistema e causando o travamento do navegador em menos de um minuto. O impacto pode inclusive se estender ao desempenho geral do sistema, resultando em um bug.
Adicionalmente, o Brash pode ser programado para atuar como um gatilho temporal, permanecendo adormecido até ser ativado em um momento específico. Isso permite que o criminoso defina exatamente quando a falha será explorada, tornando-a uma ameaça ainda mais sofisticada e difícil de prever. Jose Pino, ao discutir a vulnerabilidade com o The Register, destacou a seriedade do problema e incentivou as empresas responsáveis por navegadores baseados em Chromium a agirem rapidamente.
O Google já foi informado sobre a situação e afirmou estar avaliando o problema para encontrar uma solução. Enquanto isso, um porta-voz do Brave mencionou que o navegador irá implementar as correções assim que forem disponibilizadas pelo Chromium. Vale ressaltar que outros navegadores populares, como o Mozilla Firefox e o Safari da Apple, não foram afetados pela falha. Eles e outros browsers operantes no iOS passaram sem danos nos testes realizados, permanecendo imunes ao Brash.