Новая уязвимость Brash, обнаруженная исследователем кибербезопасности Хосе Пино (Jose Pino), затрагивает движок Blink и позволяет за 15–60 секунд вызвать аварийное завершение работы большинства Chromium‑браузеров или заметную деградацию производительности всей системы. Проблема связана с отсутствием ограничений на частоту обновления document.title, что приводит к экстремальному количеству мутаций DOM и полной загрузке CPU.
Что такое Brash и почему это важно
Суть Brash заключается в архитектурной особенности Blink: движок не ограничивает скорость операций, связанных с изменением заголовка вкладки. При целенаправленной эскалации этих операций создается лавинообразный поток событий DOM, который перегружает цикл обработки событий и подсистемы отрисовки, провоцируя браузерный DoS и возможный краш.
Как работает атака на Blink
Перегрузка DOM и CPU из‑за document.title
Отсутствие rate limit на вызовы document.title открывает возможность генерировать миллионы мутаций DOM в секунду. В результате поток JavaScript‑обработчиков, уведомлений о мутациях и перерисовок потребляет практически все доступные ресурсы процессора. Такой сценарий приводит к экстренному завершению процесса браузера или «заморозке» вкладки и интерфейса.
Точная активация и «логическая бомба»
Отдельная опасность Brash — возможность точной активации по времени. Эксплоит может быть скрыт в коде страницы и сработает в заранее заданный момент, фактически превращаясь в логическую бомбу. Достаточно перехода по специальной ссылке: вредоносный скрипт активируется тогда, когда это наиболее выгодно злоумышленнику.
Какие браузеры уязвимы и кто защищен
По данным исследователя, проблема затрагивает сборки Chromium, начиная с версии 143.0.7483.0. В тестах на Android, macOS, Windows и Linux уязвимость проявилась в девяти из одиннадцати популярных браузеров, включая Microsoft Edge, Brave, Opera, Vivaldi, Arc Browser, Dia Browser, OpenAI ChatGPT Atlas и Perplexity Comet. Исключение составили Firefox и Safari, которые используют альтернативные движки Gecko и WebKit. Также защищены все браузеры на iOS благодаря обязательному применению WebKit.
Реакция вендоров и сложность исправления
Исследователь сообщил о баге команде безопасности Chromium в августе 2025 года, но не получил ответа и в итоге опубликовал детали и PoC, чтобы привлечь внимание к проблеме. После публикации Google заявила, что «изучает проблему». Разработчики Brave подчеркнули, что не используют собственную логику вокруг document.title и внедрят исправление одновременно с апдейтом Chromium. Эксперт также отмечает, что из‑за множества кастомных форков Chromium патчи, вероятно, придется адаптировать для каждого продукта отдельно.
Что должно быть исправлено в Blink
С технической точки зрения устойчивое решение предполагает введение ограничений на частоту обновления document.title, а также более строгого управления вычислительными ресурсами при массовых DOM‑операциях в Blink. Комбинация rate limiting, кооперативного планирования задач, дебаунсинга/троттлинга обновлений и кросс‑компонентных защит в подсистемах рендеринга может блокировать класс атак, приводящих к перегрузке CPU.
Рекомендации пользователям и ИТ‑отделам
Пока официальный патч не выпущен, рекомендуется соблюдать осторожность: не переходить по подозрительным ссылкам и немедленно закрывать «подвисшие» вкладки. Дополнительно полезны практики снижения риска: использование блокировщиков скриптов и контент‑фильтров на недоверенных сайтах, ограничение автозагрузки вкладок, мониторинг потребления ресурсов браузером и политика «открывать неизвестные ссылки в отдельном профиле/песочнице».
Инцидент с Brash демонстрирует, что даже «безопасные» на вид API уровня UI могут становиться векторами DoS‑атак при отсутствии ограничений на частоту вызовов. Организациям стоит пересмотреть политики работы с веб‑контентом, а пользователям — обновлять браузеры при выходе исправлений. Следите за объявлениями разработчиков Chromium и ваших браузеров: оперативная установка патчей и базовая «кибергигиена» остаются лучшей защитой.
