Brash 漏洞可以在几秒钟内使 Chromium 浏览器崩溃

近期，安全研究员何塞・皮诺（Jose Pino）曝光了一个名为 “Brash” 的高危漏洞，该漏洞针对 Chromium 内核浏览器，可在 15 至 60 秒内导致浏览器崩溃甚至整个系统瘫痪。目前包括 Chrome、Edge、Opera、Brave 在内的多款主流浏览器均受影响，尚未推出官方修复方案。

什么是 Brash 漏洞？

Brash 漏洞的核心问题出在 Chromium 浏览器的 Blink 渲染引擎上。该引擎对document.title（标签页标题）API 的更新没有任何速率限制，攻击者可利用这一缺陷发起攻击。

攻击原理十分简单：攻击者先创建约 100 个长度为 512 字符的独特十六进制字符串，随后以每秒数百万次的频率快速更新标签页标题。Blink 引擎试图处理每一次标题变更，最终因负载过载导致浏览器无响应甚至崩溃。

不同设备受攻击后的表现

测试显示，Brash 攻击在不同设备和系统上的破坏效果存在差异，但均具有强破坏性：

电脑端：浏览器首先失去响应，需通过任务管理器结束进程；部分情况下会连带 Windows 文件资源管理器崩溃，系统托盘图标消失；若手动管理页面文件，15 秒内可能出现蓝屏（BSoD）；Opera 浏览器测试中，系统会极度卡顿，打开任务管理器结束进程需数分钟。

安卓端：浏览器会冻结，30 至 40 秒后自动崩溃重启，但手机系统可保持正常响应。

如何检测 Brash 攻击并紧急处理？

目前谷歌仅表示正在研究该漏洞，尚未发布修复补丁。用户需通过以下信号识别攻击，并立即采取行动：

标签标题异常：标签页标题快速闪烁、显示不断变化的字符串或附加数字，这是最直观的攻击特征。

浏览器响应迟缓：切换标签卡顿、光标旁出现加载图标、光标跳跃，这些都是浏览器即将崩溃的前兆。

电脑风扇狂转：攻击会使 CPU 占用率瞬间拉满、内存使用率飙升，导致风扇在 5 至 8 秒内从低速升至全速，即便未运行大型程序也会出现此情况。

资源占用暴涨：打开任务管理器查看，若浏览器主进程内存和 CPU 使用率急剧上升，可确认遭受攻击。

发现上述迹象后，需立即使用Ctrl + W快捷键关闭恶意标签页，该快捷键在界面无响应时仍大概率有效。

提前预防 Brash 攻击的实用方法

由于暂无主动防御工具，用户可通过以下方式降低受攻击风险：

禁用 JavaScript：Brash 攻击依赖 JavaScript 执行，可在浏览器设置中禁用 JavaScript，仅为信任的网站添加例外。需注意，这可能导致部分网站功能无法正常使用。

更换非 Chromium 浏览器：Firefox、Safari 等非 Chromium 内核浏览器不受该漏洞影响，可作为临时替代方案。

规避不安全网站：避免访问来源不明、口碑较差的网站，减少接触恶意代码的概率。

需警惕的是，攻击者可通过延迟、特定操作或时间段触发 Brash 攻击，隐蔽性较强，日常浏览时需格外注意网站安全性。