Vulnerabilidad podría provocar fallos en miles de millones de navegadores Chromium; Google aún no la ha corregido

El investigador José Pino presentó una prueba de concepto de una vulnerabilidad en el motor de renderizado Blink, que se utiliza en los navegadores basados en Chromium, y mostró cómo una sola página web puede en segundos provocar la caída de muchos navegadores y detener el funcionamiento del dispositivo. Pino publicó el código Brash, que demostró una degradación masiva de la interfaz y la congelación completa de pestañas en la mayoría de las compilaciones de Chromium verificadas.

La vulnerabilidad está relacionada con una característica arquitectónica del manejo de document.title: en Blink no existe un límite de velocidad para actualizar el título del documento, lo que permite que un script en cuestión de milisegundos realice millones de cambios en el DOM y cargue el hilo principal. Según la metodología de Pino, la preparación incluye en memoria un conjunto de cien cadenas hexadecimales únicas de 512 caracteres, después de lo cual se ejecutan series breves de actualizaciones del título en modo de alta frecuencia (ejemplo de configuración — «burst: 8000, interval: 1ms»), lo que genera del orden de decenas de millones de intentos de cambio por segundo. Como resultado, tras 5–10 segundos las pestañas dejan de responder; entre 15 y 60 segundos el navegador se bloquea o requiere la finalización forzada del proceso, y en pruebas aisladas en Windows una pestaña consumió hasta 18 GB de memoria RAM y provocó la congelación del sistema.

Pino probó el PoC en 11 navegadores bajo Android, macOS, Windows y Linux: 9 resultaron vulnerables; entre los afectados se mencionan Chrome, Edge, Vivaldi, Arc, Dia, Opera, Perplexity Comet, ChatGPT Atlas y Brave. Dos navegadores con otros motores — Firefox (Gecko) y Safari (WebKit) — no mostraron reproducibilidad del ataque, al igual que todas las compilaciones en iOS, donde WebKit es obligatorio. El investigador notificó al equipo de Chromium el 28 de agosto y repitió el mensaje el 30 de agosto, pero no recibió respuesta inmediata, por lo que publicó el PoC para llamar la atención sobre el problema ante la falta de respuesta pública.

Los fabricantes que usan Chromium tienen sus propios cambios y extensiones de funcionalidad, por lo que el autor considera que la corrección definitiva puede requerir adaptaciones por parte de cada empresa por separado — esto aumenta la complejidad y los plazos de remediación. Al momento de la publicación, la vulnerabilidad no tiene un identificador público en las bases de amenazas; el informe y el PoC están alojados por el autor en GitHub, y los representantes de varios proveedores aún no han ofrecido comentarios detallados. La explotación no revela el contenido de las pestañas ni conduce a la ejecución de código arbitrario, pero puede causar pérdida de datos no guardados y fallos masivos, por lo que cualquier sitio visitado puede convertirse en una fuente de fallos.