Een recent ontdekte kwetsbaarheid kan Chromium-browser (zoals Chrome en Edge) in tientallen seconden platleggen.
Schrijf je in op onze nieuwsbrief en ontvang elke week het beste van Clickx in je mailbox.
Nieuwe bug doet Chromium-browsers in enkele seconden crashen
De fout kreeg de naam ‘Brash’ en misbruikt een zwak punt in Blink, de rendering-engine achter Chrome, Edge, Brave en andere Chromium-browsers. Securityonderzoeker Jose Pino publiceerde een proof-of-concept waarmee hij aantoonde dat een gemanipuleerde pagina een browsersessie in ongeveer 15–60 seconden onbruikbaar kan maken. Bij de techniek worden per seconde extreem veel wijzigen aan het onderdeel document.title uitgevoerd. Blink verwerkt die Title-wijzigingen tegelijkertijd, zonder afdoende rate limiting. Door die engine te beïnvloeden en miljoenen updates aan het onderdeel document.title te forceren, kan de main thread verstopt raken.
De impact is breed: tests tonen aan dat vrijwel alle grote Chromium-browsers kwetsbaar zijn: Chrome, Edge, Opera, Brave, Vivaldi en zelfs sommige nieuwe browsers die op Chromium draaien zoals ChatGPT Atlas. Engines zoals Gecko (Firefox) en WebKit (Safari) blijken dan weer immuun, omdat het probleem in Blink zelf zit. Het issue is reproduceerbaar op desktop en Android.
Miljoenen updates tegelijkertijd
Wat gebeurt er precies? De exploit laadt een set zeer grote strings in het geheugen en vuurt dan in bursts miljoenen document.title-updates af (Pino spreekt over orders of magnitude zoals ~24 miljoen updates per seconde in zijn configuratie). Daardoor loopt de main thread vast, CPU-gebruik schiet omhoog en tabs bevriezen of crashen. Het wordt zo dus een klassieke denial-of-service tegen de browser. Het probleem kan ook tooling en headless crawlers treffen die Chromium gebruiken, wat kettingreacties in automatisering en monitoring kan veroorzaken.
Tot nu toe is er nog geen officiële patch gepubliceerd; Pino zegt dat zijn eerdere melding twee maanden onbeantwoord bleef en besloot daarna publiek te demonstreren om druk te zetten op de onderhouders. Intussen zouden beveiligingsmedewerkers van Google en andere Chromium-onderhouders het probleem onderzoeken. Een relatieve eenvoudige maatregel zou rate-limiting op deze API zijn. Tot die update is uitgerold, is er geen waterdichte technische work-around bekend.
Wat kun je als gebruiker doen?
Als gebruiken kan je niet heel veel doen, buiten je gezond verstand gebruiken, natuurlijk. Vermijd zoals steeds het openen van onbetrouwbare of onbekende links zolang de Chromium-ontwikkkelaars geen patch uitgebracht hebben. Maak je je toch zorgen, dan kan je in de tussentijd alternatieve browsers gebruiken, zoals Firefox of Safari. als je veel risico-gevoelige workflows hebt.
Brash is geen gelukkig geen data stelende bug: er is geen bewijs dat er wachtwoorden of lokale bestanden uitgelezen worden, maar de fout is wel degelijk gevaarlijk: ze maakt grootschalige verstoring mogelijk, van individuele gebruikers tot geautomatiseerde crawlers en bedrijfssystemen die op Chromium-based tooling vertrouwen. Zodra Chromium/Google een patch uitbrengt, installeer je die dus best meteen.
Volg Clickx op Google Nieuws om onze nieuwste artikels in je feed te krijgen. Vergeet niet om op ‘Volgen’ te klikken.
Abonneer op Clickx
Krijg Clickx magazine 10 keer per jaar (waarvan 2 extra dikke dubbelnummers) keurig thuisbezorgd.
