Uma vulnerabilidade crítica no mecanismo de renderização Blink, usado pelo Chromium, está deixando diversos navegadores populares vulneráveis a travamentos quase instantâneos. A falha, descoberta pelo pesquisador de segurança Jose Pino, foi batizada de “Brash” — um nome que reflete seu potencial destrutivo e a rapidez com que consegue derrubar navegadores como Chrome, Edge, Brave, Opera e Vivaldi.
“Ela permite que qualquer navegador baseado no Chromium trave em 15 a 60 segundos, explorando uma falha arquitetônica na forma como certas operações do DOM são gerenciadas”, explicou Pino em sua análise técnica.
Como o ataque funciona
De acordo com o pesquisador, o Brash explora a ausência de limitação de taxa (rate limit) nas atualizações da API document.title. Isso permite que uma página maliciosa envie milhões de mutações do DOM por segundo, sobrecarregando a CPU até o navegador colapsar.
O ataque ocorre em três etapas principais:
- Geração de dados em memória — o script cria grande volume de informações temporárias;
- Injeção massiva de atualizações — as mutações são enviadas sem controle;
- Saturação da thread principal — o navegador para de responder, forçando o encerramento manual.
Um ponto especialmente preocupante é a possibilidade de agendar o ataque para horários específicos, transformando o Brash em uma espécie de “bomba lógica” digital.
“Essa capacidade de sincronização transforma o Brash em uma arma de precisão temporal”, alertou Pino.
Navegadores afetados
A vulnerabilidade atinge todos os navegadores baseados no Chromium, incluindo:
- Google Chrome
- Microsoft Edge
- Brave
- Opera
- Vivaldi
- Arc Browser
- Dia Browser
- Versões web de assistentes como ChatGPT Atlas e Perplexity Comet
Por outro lado, Mozilla Firefox e Apple Safari não são afetados, já que utilizam mecanismos diferentes (Gecko e WebKit, respectivamente).
Situação atual e medidas
Até o momento, o Google não se pronunciou oficialmente sobre o caso nem sobre planos de correção. O site The Hacker News, que divulgou o estudo, informou que entrou em contato com a empresa e aguarda retorno sobre as medidas de mitigação em andamento.
Enquanto isso, especialistas recomendam evitar o acesso a links desconhecidos e manter os navegadores sempre atualizados, especialmente os baseados no Chromium, até que uma correção definitiva seja lançada.
