Uma falha grave de segurança encontrada no Chromium pode afetar bilhões de usuários de navegadores populares como o Chrome e o Edge. Isso porque a descoberta aponta para uma vulnerabilidade no mecanismo de renderização Blink que pode travar vários browsers em questão de segundos.
O problema foi descoberto pelo pesquisador de segurança Jose Pino, que explicou em sua análise que a falha, denominada Brash, tem a capacidade de travar em até 60 segundos qualquer navegador de código aberto que tenha o Chromium como base.
“[O Brash] permite que qualquer navegador Chromium leve 15 a 60 segundos para travar, explorando uma falha arquitetônica em como algumas operações DOM são gerenciadas”, Pino explica.
Para se ter uma noção da gravidade da situação, somente o Google Chrome, o navegador baseado em Chromium mais conhecido do mundo, tem cerca de três bilhões de usuários ativos, segundo dados da União Internacional de Telecomunicações (UIT). Outros browsers que também podem ser afetados pela falha incluem o Microsoft Edge, ChatGPT Atlas, Brave e Vivaldi.
Falha de segurança pode causar problemas graves
De acordo com o pesquisador por trás da descoberta, a falha de segurança tem relação com o document.title, uma API em JavaScript usada para nomear sites.
O especialista observou que o Brash surge da falta de limitação de taxa durante o processo de atualização das API toda vez que um programador altera o document.title.
Como não há limite para as modificações, um cibercriminoso consegue provocar milhões de mutações DOM por segundo, o que acaba saturando o “fio” principal (uma espécie de árvore cheia de coisas penduradas) que liga todas essas pequenas alterações realizadas no código.
Com a saturação, o que acontece é um colapso total do navegador, que pode simplesmente travar a interface em menos de um minuto. O problema consegue até mesmo danificar o desempenho do sistema, causando um bug.
Mas as complicações não param por aí. Segundo a pesquisa, o Brash também pode ser programado como um gatilho temporal, permanecendo “adormecido” até ser executado em um momento predeterminado. Assim, o cibercriminoso pode controlar quando essa falha será ativada, decidindo até mesmo o horário que essa “bomba” irá explodir.
Alerta para navegadores
Falando ao The Register, Jose Pino fez um alerta para as empresas por trás de navegadores baseados em Chromium que podem ser afetados pela falha.
“O problema é mais sério do que parece, já que cada companhia que usa o Chromium tem funcionalidades customizadas, o que me faz acreditar que a solução deve ser diferente para cada um deles”, o especialista explica.
O Google foi notificado sobre o problema pelo The Register, afirmando em nota que está verificando a situação. Já um porta-voz do Brave disse ao veículo que “irá implementar correções assim que forem providenciadas pelo Chromium”.
Vale mencionar ainda que, durante os testes feitos pelo pesquisador, os navegadores Mozilla Firefox e o Safari da Apple permaneceram imunes ao Brash. Outros browsers que operam no iOS também passaram intactos no teste.
Por: Canal Tech
