Дослідник з інформаційної безпеки Хосе Піно виявив критичну проблему в рушії Chromium, яка дозволяє зловмисникам дистанційно «покласти» браузер будь-якого відвідувача. Нова загроза отримала назву Brash. Під ударом опинилися найпопулярніші програми для вебсерфінгу: Google Chrome, Microsoft Edge, Brave та Opera.
Для атаки хакерам не потрібно запускати складні скрипти чи ламати систему захисту пристрою. Достатньо заманити жертву на спеціально підготовлену вебсторінку.
Як працює уразливість Brash
Метод атаки виявився напрочуд простим, але ефективним. Зловмисники використовують недолік у тому, як рушій Chromium обробляє динамічні зміни назви вкладки (title сторінки):
- Користувач переходить на шкідливий сайт.
- Скрипт на сторінці починає безперервно змінювати назву вкладки тисячі разів на секунду.
- Рендерер браузера не впорається з таким лавиноподібним потоком оновлень інтерфейсу.
- Процесор перевантажується на 100%, система починає критично гальмувати.
- Вже за 15–60 секунд браузер повністю зависає або закривається з критичною помилкою.
Коротко про головне: технічні характеристики загрози
Параметр Деталі Назва вразливості Brash Вплив на систему Перевантаження CPU, зависання та аварійне закриття браузера Час до відмови (DoS) Від 15 до 60 секунд після відкриття сторінки Вразливі програми Усі браузери на базі Chromium (Chrome, Edge, Opera, Brave, Vivaldi) Хто знайшов Фахівець із кібербезпеки Хосе Піно (Jose Pino)
Реакція розробників Google
Найбільше запитань у цій ситуації викликає поведінка розробників Chromium. За словами Хосе Піно, він офіційно надіслав детальний звіт про баг команді безпеки Google понад два місяці тому. Жодної відповіді чи підтвердження реєстрації проблеми дослідник так і не отримав.
Саме через ігнорування з боку Google фахівець вирішив оприлюднити деталі Brash у публічному просторі. На його думку, розголос змусить розробників якнайшвидше випустити патч безпеки, щоб захистити користувачів від потенційних зловживань.
