FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

漏洞概述：Brash漏洞可数秒内瘫痪浏览器

安全研究人员警告称，Chromium渲染引擎中存在一个漏洞（被命名为Brash），攻击者利用该漏洞可在数秒内导致Chrome、Microsoft Edge等九款浏览器崩溃。在谷歌连续两个月无视漏洞报告后，研究员Jose Pino于10月29日公开了该漏洞的PoC代码，可能影响超过30亿用户。

该漏洞利用了Blink渲染引擎（所有基于Chromium的浏览器核心）的基础设计缺陷。Pino于8月28日提交漏洞报告并于8月30日跟进，但始终未获回应。"两个月前提交的初始报告石沉大海后，我决定公开这个PoC以引起对重大安全隐患的关注，"Pino在GitHub发布的技术文档中表示，"当负责任的披露无法促成及时修复时，我认为有必要提升公众认知。"

攻击原理：document.title API无限速缺陷

Pino命名的Brash漏洞利用了Blink引擎中document.title API更新完全缺乏速率限制的设计缺陷。攻击者通过每秒注入数百万次标题变更，可饱和主线程并引发崩溃。

"攻击向量源于document.title API更新完全缺乏速率限制，"Pino在技术文档中写道，"这使得攻击者每秒可注入数百万次DOM变更，在注入过程中饱和主线程，破坏事件循环并导致界面崩溃。"

该漏洞影响Chromium 143.0.7483.0及更早版本。Pino测试了macOS、Windows、Linux和Android平台的11款浏览器，其中9款存在漏洞：Chrome、Edge、Vivaldi、Arc、Dia、Opera、Perplexity Comet、ChatGPT Atlas和Brave。Firefox和Safari因使用不同渲染引擎（分别为Gecko和WebKit）不受影响。

测试显示，漏洞利用具有可预测的崩溃时间线：0-5秒触发CPU使用率激增；5-10秒导致标签页完全冻结；10-15秒引发浏览器崩溃或"页面无响应"弹窗；15-60秒需强制终止进程。

企业级风险：自动化系统面临瘫痪威胁

虽然浏览器崩溃会影响普通用户，但该漏洞对企业自动化系统的威胁更为严重。技术文档指出，运行无头Chromium浏览器进行AI Agent操作、交易系统或运营监控的企业，可能面临工作流瘫痪风险。

Pino列举了多个企业级攻击场景：分析问题网站的AI Agent可能中途崩溃，导致自动交易决策中断；欺诈检测仪表板可能在交易高峰期瘫痪；基于网页的手术导航系统可能在关键操作时失效。"浏览器进程崩溃会终止整个分析流程，"研究文档强调。

PoC代码包含可编程的调度参数，允许攻击者在特定时间触发崩溃。攻击者可注入带时间延迟的代码，使其在关键时点（如市场开盘、班次交接、业务高峰）激活。"Brash最危险的特征是其可编程执行能力，"文档指出，"攻击者可设置时间触发器，使代码潜伏至预定时刻。"

漏洞披露争议：谷歌沉默引发行业反思

谷歌对Pino报告的沉默凸显了漏洞披露机制存在的矛盾。虽然谷歌Project Zero团队对第三方软件漏洞执行严格的90天披露期限标准，但其自身Chrome漏洞奖励计划文档承诺"及时响应并在合理时间内修复漏洞"。

Pino的遭遇引发行业思考：当厂商对合规披露的漏洞保持沉默时，研究人员应等待多久才向公众示警？微软曾批评谷歌在补丁未就绪前公开Windows漏洞的做法，但厂商不作回应同样令研究人员陷入两难。

Pino指出更深层问题："由于每家使用Chromium的公司都有定制功能，我认为修复必须各自独立完成，这使得问题比表面更严峻。"截至10月30日，Chromium公共问题追踪器中未见相关漏洞记录，微软、Brave等受影响厂商也未发布安全公告。

企业安全团队应对困境

企业首席信息官面临艰难抉择。由于漏洞影响Blink核心，常规浏览器加固措施（如内容安全策略、站点隔离、扩展限制）均无效防护。

Pino的PoC代码仍可通过GitHub公开获取（采用Creative Commons和MIT许可），文档强调仅限受控环境下的教育及安全研究用途。他还建立了实时演示站点brash.run，可对访问者浏览器执行攻击。代码包含从"温和"观察到"极端"即时崩溃的可调强度设置。

技术文档说明漏洞修复后攻击将失效。但在缺乏厂商响应时间表的情况下，企业安全团队难以制定防御计划，也无法向依赖浏览器工作流的业务部门传达风险。核心问题仍未解决：当厂商对合规披露的漏洞保持沉默时，研究人员究竟该等待多久？

参考来源：

Chromium flaw crashes Chrome, Edge, Atlas: Researcher publishes exploit after Google’s silence

免责声明

1.一般免责声明：本文所提供的技术信息仅供参考，不构成任何专业建议。读者应根据自身情况谨慎使用且应遵守《中华人民共和国网络安全法》，作者及发布平台不对因使用本文信息而导致的任何直接或间接责任或损失负责。

2. 适用性声明：文中技术内容可能不适用于所有情况或系统，在实际应用前请充分测试和评估。若因使用不当造成的任何问题，相关方不承担责任。

3. 更新声明：技术发展迅速，文章内容可能存在滞后性。读者需自行判断信息的时效性，因依据过时内容产生的后果，作者及发布平台不承担责任。

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）