Falha crítica pode travar navegadores Chromium e sistema operacional em segundos

Uma vulnerabilidade no motor de renderização Blink, utilizado por navegadores baseados em Chromium, pode causar uma condição de “negação de serviço” e, em alguns casos, congelar completamente o sistema operacional — incluindo Android, macOS, Windows e Linux. O problema afeta versões do Chromium 143.0.7483.0 e posteriores.

A falha foi descoberta pelo pesquisador de segurança Jose Pino, que desenvolveu uma prova de conceito chamada Brash para demonstrar o impacto. Segundo ele, o ataque explora a ausência de um limite para o número de vezes que o “document.title” pode ser atualizado, o que permite gerar milhões de mutações no DOM por segundo.

Esse processo sobrecarrega a thread principal e pode travar a interface do navegador. Em testes realizados, o navegador e o sistema Windows ficaram completamente travados após cerca de 30 segundos, com uma única aba consumindo até 18 GB de memória RAM.

Qualquer página web pode conter o código JavaScript malicioso, e há o risco de que agentes mal-intencionados o incluam em sites comprometidos.

O Google informa que está investigando o problema, enquanto a Brave declara não ter implementações específicas relacionadas ao “document.title”, mas garante que aplicará a correção assim que o Chromium for atualizado. Navegadores baseados nos motores Gecko (Firefox) e WebKit (Safari) não são afetados, assim como todos os navegadores em iOS, que também utilizam o WebKit.