Eine neu gemeldete Schwachstelle namens Brash führt in Blink, dem Rendering‑Engine von Chromium, zu einem Browser‑Denial‑of‑Service (DoS). Durch massives, ungedrosseltes Aktualisieren von document.title lassen sich viele Chromium‑Browser in 15–60 Sekunden zum Absturz bringen oder die gesamte Systemleistung spürbar degradieren.
Was Brash so gefährlich macht: Architekturgrenzen in Blink
Brash nutzt aus, dass Blink keine Rate Limits für Operationen rund um den Tab‑Titel erzwingt. Wird die Aktualisierung von document.title extrem hochfrequent ausgelöst, entsteht ein Lawineneffekt aus DOM‑Mutationen, Ereignisbenachrichtigungen und Re‑Renders. Das Event‑Loop und die Rendering‑Pipeline werden überlastet – ein klassischer Fall von Uncontrolled Resource Consumption, wie in CWE‑400 beschrieben.
So funktioniert der Angriff auf Blink
DOM- und CPU-Überlastung via document.title
Ohne Drosselung können Skripte in sehr kurzer Zeit Millionen DOM‑Mutationen erzeugen. Neben JavaScript‑Handlern triggern Mutation‑Benachrichtigungen und Re‑Paints zusätzliche Arbeit in Rendering‑Subkomponenten. Die CPU wird ausgelastet, UI und Tabs frieren ein, bis der Browserprozess notfallmäßig beendet.
Zeitgesteuerte Auslösung als „logische Bombe“
Brash kann präzise zeitgesteuert ausgelöst werden. Ein in die Seite eingebetteter Code lässt sich so programmieren, dass er erst nach einer Verzögerung oder zu einem strategischen Zeitpunkt aktiv wird – ein plausibles Szenario für Link‑Baiting und Drive‑by DoS ohne unmittelbare Nutzerinteraktion.
Betroffene Browser und wer nicht anfällig ist
Nach Angaben des Entdeckers sind Chromium‑Builds ab 143.0.7483.0 betroffen. In Tests unter Android, macOS, Windows und Linux zeigten 9 von 11 populären Browsern das Fehlverhalten, darunter Microsoft Edge, Brave, Opera, Vivaldi, Arc Browser, Dia Browser, OpenAI ChatGPT Atlas und Perplexity Comet. Firefox und Safari waren nicht betroffen, da sie mit Gecko bzw. WebKit andere Engines einsetzen. Auf iOS sind Browser, die WebKit nutzen, ebenfalls geschützt.
Reaktionen der Hersteller und Hürden beim Patchen
Der Befund wurde im August 2025 an das Chromium‑Security‑Team gemeldet. Nach Veröffentlichung von Details und PoC teilte Google mit, man prüfe das Problem. Die Entwickler von Brave erklärten, dass sie keine eigene Logik um document.title verwenden und ein Fix mit dem nächsten Chromium‑Update übernommen werde. Aufgrund zahlreicher Chromium‑Forks ist jedoch wahrscheinlich, dass Patches produktindividuell angepasst werden müssen.
Technische Gegenmaßnahmen im Blink-Stack
Ein tragfähiger Fix sollte mehrere Schutzschichten kombinieren: Rate Limiting für document.title, Debounce/Throttling für massenhafte DOM‑Operationen, kooperatives Task‑Scheduling mit Budgetierung sowie Cross‑Component Guards zwischen Script‑Ausführung und Rendering. Solche Mechanismen sind bewährte Mittel gegen DoS‑Muster, die auch in OWASP‑Leitlinien zu Ressourcenerschöpfung adressiert werden (OWASP DoS). Für Entwickler ist zudem relevant, wie Browser UI‑APIs drosseln; selbst scheinbar harmlose Schnittstellen wie document.title (vgl. MDN) benötigen Clamping und Backpressure, um Missbrauch zu verhindern.
Empfehlungen für Anwender und IT-Teams
– Keine verdächtigen Links öffnen; ungewöhnliches Tab‑Verhalten durch sofortiges Schließen unterbinden.
– Script‑Blocker und Content‑Filter auf nicht vertrauenswürdigen Seiten einsetzen.
– Autostart/Autorestore von Tabs einschränken, um DoS‑Loops beim Browserstart zu vermeiden.
– Ressourcenverbrauch des Browsers überwachen; Prozesse mit dauerhaft hoher CPU konsequent beenden.
– Unbekannte Links in separaten Profilen oder einer Sandbox öffnen (z. B. isolierte Container, VMs).
Brash zeigt, dass UI‑nahe Web‑APIs ohne Frequenzbegrenzung zu wirksamen DoS‑Vektoren werden können. Organisationen sollten Richtlinien für den Umgang mit Web‑Inhalten prüfen und Sicherheitsupdates zeitnah einspielen. Beobachten Sie Ankündigungen von Chromium und Ihren Browser‑Anbietern und aktualisieren Sie umgehend, sobald Patches verfügbar sind.
