Uma vulnerabilidade grave descoberta no mecanismo de renderização do Chromium pode travar navegadores em

menos de um minuto, colocando em risco mais de 3 bilhões de usuários ao redor do mundo.

O problema, batizado de Brash, afeta o Blink, motor responsável por transformar o código-fonte das páginas em conteúdo visual nos navegadores baseados em Chromium — como Google Chrome, Microsoft Edge, Brave, Opera, Vivaldi, Arc Browser e até o Atlas, da OpenAI.

Apesar do alerta enviado à equipe do Chromium, o Google ainda não respondeu oficialmente sobre o caso.

Entenda a falha

Segundo o pesquisador Jose Pino, responsável pela descoberta, a vulnerabilidade está ligada a uma função JavaScript simples: document.title, usada por desenvolvedores para alterar o nome exibido na aba de um site.

Cada vez que o document.title é modificado, o Blink cria uma nova mutação no DOM (a estrutura em árvore que representa os elementos de uma página). Essa mutação entra em uma fila de processamento até que o navegador aplique a mudança.

O problema é que não há qualquer limitação para a quantidade de vezes que essa função pode ser chamada. Isso permite que invasores executem milhões de alterações por segundo, levando o navegador a colapsar completamente em 15 a 60 segundos — exigindo, em alguns casos, até o fechamento forçado do aplicativo.

Um ataque com hora marcada

O mais preocupante é que o Brash pode ser programado para agir em momentos específicos. Hackers podem injetar o código e deixá-lo “adormecido” até uma data ou horário pré-definido.

Isso abre brechas para ataques sincronizados durante eventos de grande impacto, como:

• Abertura de bolsas de valores,
• Trocas de turno em hospitais,
• Picos de vendas como a Black Friday,
• Ou até transmissões ao vivo de grande audiência.

Navegadores como Safari e Firefox não são afetados, já que utilizam mecanismos diferentes do Blink.

Um problema que vem de longe

O document.title foi criado nos primórdios da internet, quando os sites eram simples e quase não utilizavam JavaScript. Naquela época, a segurança cibernética ainda não era uma preocupação central.

O Brash não depende de técnicas avançadas de invasão — ele apenas explora uma brecha esquecida no tempo. Esse caso serve como um alerta importante sobre a necessidade de repensar estruturas antigas ainda presentes em tecnologias modernas.

Google ainda não respondeu

Jose Pino afirma ter comunicado o problema ao Google em 28 de agosto, mas até o momento não houve retorno nem atualização corretiva por parte da empresa.

Enquanto isso, a vulnerabilidade segue ativa, deixando bilhões de dispositivos potencialmente expostos.

🔒 Quer se manter atualizado sobre cibersegurança e tecnologia?
Siga a Linux Tec Hosting nas redes sociais, inscreva-se em nossa newsletter e no nosso canal do YouTube para acompanhar notícias, análises e alertas do mundo digital.

Quer que eu otimize esse texto para SEO, com meta description, palavras-chave e título otimizado para o Google antes de publicar no site da Linux Tec Hosting?

TAGS: Chromium; Google Chrome; falha de segurança; vulnerabilidade Brash; Blink; navegador travando; cibersegurança; José Pino; ataque digital; JavaScript; document.title; DOM; navegador Chromium; Google; Edge; Brave; Opera; Vivaldi; Arc Browser; Atlas OpenAI