Exploit betrifft Milliarden Geräte weltweit
Sicherheitslücke „Brash“ bringt Chrome & Co. zum Absturz
Ein Sicherheitsforscher hat eine gravierende Schwachstelle in Chromium-Browsern entdeckt. Der Exploit lässt sich leicht nachvollziehen – ein Fix steht bisher nicht zur Verfügung.
Eine kritische Sicherheitslücke betrifft derzeit sämtliche Browser, die auf Googles Chromium-Architektur basieren – darunter Chrome, Edge, Brave, Opera und Vivaldi. Der Sicherheitsforscher Jose Pino hat den Fehler entdeckt und dokumentiert. Demnach lässt sich der sogenannte „Brash“-Exploit ...
Eine kritische Sicherheitslücke betrifft derzeit sämtliche Browser, die auf Googles Chromium-Architektur basieren – darunter Chrome, Edge, Brave, Opera und Vivaldi. Der Sicherheitsforscher Jose Pino hat den Fehler entdeckt und dokumentiert. Demnach lässt sich der sogenannte „Brash“-Exploit einfach auslösen und führt binnen Sekunden zum Absturz der betroffenen Anwendungen.
Ursache liegt in Blink-Engine
Laut Pino ist die Ursache für den Absturz in der Blink-Engine von Chromium zu finden. Der Angriffsvektor entsteht durch die fehlende Begrenzung bei der Nutzung der document.title-Funktion. Diese kann in extrem schneller Abfolge Millionen von DOM-Operationen auslösen und damit den Hauptthread des Browsers überlasten.
Browser crashen plattformübergreifend
Pino konnte den Angriff auf Geräten mit Windows, Linux und macOS erfolgreich reproduzieren. Die gängigen Chromium-Browser stürzen dabei meist innerhalb von 15 bis 30 Sekunden ab. Auch die Redaktion von Golem bestätigte die Reproduzierbarkeit des Absturzes in einem aktuellen Chrome-Browser. Alternativen wie Firefox oder Safari bleiben von der Schwachstelle unberührt.
Kein Patch in Sicht
Bislang steht kein Update zur Verfügung, das die Schwachstelle behebt. Google hat gegenüber dem Magazin The Register lediglich angekündigt, den Fehler prüfen zu wollen. Andere Hersteller dürften auf Googles Reaktion angewiesen sein, da sie den zugrundeliegenden Code übernehmen.
Gefahr von Datenverlust
Nutzerinnen und Nutzer sollten bei Tests mit dem Brash-Exploit Vorsicht walten lassen: Nicht gespeicherte Daten können verloren gehen. Der Browser wird durch die Überlastung rasch unbenutzbar, in einigen Fällen kann sogar das gesamte System einfrieren. Der Angriff lässt sich über eine von Pino bereitgestellte Testseite oder lokal nachvollziehen.
Fazit
Der Brash-Exploit zeigt, wie ein simpler Fehler in der Browser-Architektur massive Auswirkungen haben kann. Noch ist unklar, wann Google eine Lösung bereitstellt – bis dahin bleibt die Lücke offen.
