Brash : un bug dans Chromium via document.title peut faire planter le navigateur et la machine

Un chercheur en sécurité, Jose Pino, a identifié une vulnérabilité dans le moteur Blink utilisée par Chrome et d’autres navigateurs basés sur Chromium. La faille, baptisée « Brash », ne permet pas à ce stade d’exécuter du code à distance, mais peut provoquer le plantage complet du navigateur voire, selon la configuration, de la machine hôte.

Découverte et divulgation

Jose Pino a documenté sa découverte sur une page dédiée d’un dépôt GitHub et a d’abord révélé ses travaux à The Register. Il indique avoir informé Google le 28 août puis de nouveau le 30 août. Faute de réponse rapide, il a publié les détails et un proof of concept (PoC) : un site qui, selon ses explications, fera planter le navigateur en 15 à 60 secondes.

Le problème : une API sans limitation

La cause du bug tient à l’API document.title. Pino a constaté qu’elle n’impose aucune limitation de débit pour les mises à jour, ce qui « permet d’injecter des millions de mutations DOM par seconde ». En conséquence, le thread principal du navigateur est saturé, la boucle d’événements est perturbée et l’interface s’effondre.

Lors d’un test cité par The Register sur Edge sous Windows 11, un onglet a consommé 18 Go de mémoire, entraînant d’abord le crash du navigateur puis, selon la configuration, celui de la machine.

Mécanisme et preuve de concept

Le chercheur décrit le PoC en trois étapes :

• préparer et charger en mémoire 100 chaînes hexadécimales uniques de 512 caractères ;
• lancer une phase de « burst » (rafale) qui, en configuration par défaut, provoque jusqu’à 24 millions de mises à jour par seconde sur document.title ;
• laisser le navigateur ingérer ces mises à jour jusqu’à saturation du CPU et de la mémoire, bloquant le thread principal et aboutissant au plantage.

Chronologie observée

• 5–10 secondes : les onglets commencent à se bloquer ;
• 10–15 secondes : blocage complet ou apparition d’une boîte « Page sans réponse » ;
• 15–60 secondes : plantage effectif du navigateur, voire de la machine selon la configuration.

Bien que cette vulnérabilité ne permette pas, selon le chercheur, l’exécution de code à distance, elle peut entraîner des pertes de travail et des interruptions de service.

Compatibilité et réactions

Pino précise que Brash n’affecte que Blink (principalement utilisé par Chrome). Les moteurs Gecko (Mozilla) et WebKit (Apple) ne sont pas concernés.

The Register a contacté plusieurs éditeurs de navigateurs (Chrome, Edge, Vivaldi, Arc, Dia, Opera, Perplexity Comet, ChatGPT Atlas et Brave). Sept d’entre eux n’ont pas répondu. Google a indiqué qu’elle examinait le problème, et Brave a déclaré qu’elle attendrait un correctif dans Chromium.

Le chercheur a publié le code du PoC et les détails techniques sur son dépôt GitHub.

Que retenir

• La vulnérabilité exploite une absence de limitation sur document.title et provoque des mutations DOM massives.
• Elle affecte les navigateurs reposant sur Blink et peut causer des plantages rapides et importants de ressources.
• Les éditeurs concernés sont en cours d’information ou d’examen, et l’utilisation du PoC peut entraîner une perte de données.