اكتشف الباحث الأمني Jose Pino ثغرة أمنية في جميع المتصفحات المستندة إلى Chromium والتي تعتمد على إصدارات Chromium حتى 143.0.7483.0، والتي تشمل Chrome وEdge وOpera، ولكن أيضًا Vivaldi وArc وBrave. بمعنى آخر، تتأثر معظم أجهزة الكمبيوتر الشخصية على هذا الكوكب بالثغرة الأمنية التي أطلق عليها بينو اسمًا صراخ لأن المتصفحات المستندة إلى Chrome وChromium تهيمن على أجهزة سطح المكتب والأجهزة المحمولة.
توجد ثغرة Brash في Blink، محرك العرض الخاص بمتصفح Google Chromium. ووفقًا لبينو، فإن الثغرة الأمنية “تسمح بانهيار أي متصفح Chromium خلال 15 إلى 60 ثانية من خلال استغلال خلل معماري في كيفية إدارة بعض عمليات DOM”.
يستمر بينو (النص الغامق هو تركيزه):
“ال ناقلات الهجوم ينشأ من الغياب الكامل للحد من المعدل
document.titleتحديثات واجهة برمجة التطبيقات. وهذا يسمح بالحقن الملايين من طفرات DOM في الثانيةوأثناء محاولة الحقن هذه، فإنها تشبع الخيط الرئيسي، مما يؤدي إلى تعطيل حلقة الحدث والتسبب في انهيار الواجهة. التأثير كبير، فهو يستهلك موارد وحدة المعالجة المركزية العالية، ويؤدي إلى تدهور الأداء العام للنظام، ويمكن أن يحدث ذلك إيقاف أو إبطاء العمليات الأخرى تشغيل في وقت واحد. من خلال التأثير على متصفحات Chromium على سطح المكتب وAndroid والبيئات المدمجة، يتم الكشف عن هذه الثغرة الأمنية 3 مليار شخص على الإنترنت لرفض الخدمة على مستوى النظام.”
لقد تمكنا من إعادة إنشاء الثغرة الأمنية في Chrome، مما تسبب في تجميد متصفحنا والتوقف عن الاستجابة. وفي حالتنا، انتهى الأمر برمته دون ضرر، حيث قمنا ببساطة بإغلاق Chrome وظل نظام التشغيل لدينا سليمًا. ومع ذلك، في العالم الحقيقي، يمكن للمتصفح الذي تم تجميده بهذه الطريقة أن يشل جهاز الكمبيوتر بأكمله.
يمكنك اختبار الثغرة الأمنية بنفسك من خلال الانتقال إلى brash.run في أي متصفح يستند إلى Chromium. إن Firefox وSafari آمنان ولا يظهران أي عواقب عند الوصول إلى صفحة الويب المعنية.
قام Pino بنشر وثائق مفصلة عن Brash على صفحة GitHub هذه. لم تصدر Google بعد تصحيحًا للثغرة الأمنية ولا تزال الشركة تحقق في القضية.
ظهرت هذه المقالة في الأصل على منشورنا الشقيق PC-WELT وتمت ترجمتها وتعريبها من الألمانية.