在信息安全领域,10 月底曝光的一起浏览器漏洞引发了全球震动。安全研究员 José Pino 公布了一项代号为 “Brash” 的严重漏洞,存在于 Chromium 143.0.7483.0 及以下版本 的核心组件中,影响范围涵盖全球所有基于 Chromium 内核的浏览器,包括 Chrome、Edge、Opera、Vivaldi、Arc 与 Brave 等主流产品。换句话说,全球超 30 亿台设备都可能受到波及。
漏洞位于 Chromium 的 Blink 渲染引擎,这是浏览器负责页面结构与动态元素呈现的核心模块。Pino 指出,漏洞源自 Blink 在处理 DOM(文档对象模型) 操作时的架构缺陷。攻击者可以通过 反复调用 document.title API 在短时间内制造数百万次 DOM 突变,造成主线程饱和与事件循环崩溃,从而导致浏览器界面彻底卡死。
研究人员的演示显示:一旦攻击被触发,受影响浏览器将在 15 至 60 秒内冻结。多数情况下关闭浏览器可恢复系统,但某些设备甚至可能直接宕机或系统死锁。测试站点 brash.run 已上线供用户验证自身浏览器是否受影响。
幸运的是,Firefox 与 Safari 等非 Chromium 内核浏览器完全不受波及。
Google 方面已确认正在调查此漏洞,但截至目前 尚未发布任何补丁或官方修复方案。
风险与启示
-
攻击门槛低:利用简单 JavaScript 脚本即可触发漏洞,极易被恶意网站或广告植入滥用。
-
影响范围广:Chromium 内核几乎垄断桌面与移动端浏览器生态,波及企业与个人用户。
-
防护建议:普通用户应立即关闭不明来源网页,避免访问陌生测试链接,等待官方推送修复补丁。
安全专家警告:这一事件提醒开发者重新审视 Chromium 体系在 DOM 架构与速率限制机制上的潜在风险,也折射出现代浏览器“高性能与高安全性”之间的微妙平衡。
