出典: The Hacker News – https://thehackernews.com/2025/10/new-brash-exploit-crashes-chromium.html
原題: New "Brash" Exploit Crashes Chromium Browsers Instantly with a Single Malicious URL
新たな「Brash」脆弱性がChromium系ブラウザを単一URLで即時クラッシュさせる
最近発見された「Brash(ブラッシュ)」と呼ばれる脆弱性により、Chromiumベースのブラウザが特定のURLを開くだけで数秒以内にクラッシュしてしまう事象が報告されました。本記事では、この脆弱性の詳細とその影響について解説します。
主要なポイント
- 脆弱性の概要:ChromiumのBlinkレンダリングエンジンに存在する「document.title」APIの更新に対するレートリミット(更新頻度制限)がないことを悪用し、ブラウザをクラッシュさせる。
- 攻撃の仕組み:単一のURLを通じて、1秒間に数千万回のDOM変異を連続発生させ、ブラウザのメインスレッドを飽和させて応答不能にする。
- 攻撃の段階:①ハッシュ生成フェーズ、②バースト注入フェーズ、③UIスレッド飽和フェーズの3段階で進行。
- 時間的制御機能:攻撃は特定のタイミングで発動可能で、ロジックボムのように潜伏しつつ正確な時刻にクラッシュを引き起こせる。
- 影響範囲:Google Chrome、Microsoft Edge、Brave、Operaなど主要なChromiumベースのブラウザ全般に影響し、FirefoxやSafariは影響を受けない。
技術的な詳細や背景情報
Brash脆弱性の根本原因は、document.title APIの更新に対してレートリミットが存在しない点にあります。通常、APIのレートリミットとは、一定時間内にAPIを呼び出せる回数を制限する仕組みであり、これにより過剰な負荷や悪意ある操作を防止します。しかし、ChromiumのBlinkエンジンではこの制限がなく、攻撃者は1秒間に数千万回ものタイトル更新を強制的に実行可能です。
攻撃は以下の3段階で進行します:
- ハッシュ生成フェーズ:攻撃者は512文字の16進数文字列を100個用意し、これをメモリにロードしてタブタイトルの変更に利用します。
- バースト注入フェーズ:3連続の
document.title更新を高速で繰り返し、1秒間に約2400万回の更新を注入します。 - UIスレッド飽和フェーズ:連続的な更新によりブラウザのメインスレッドが飽和し、応答不能となって強制終了が必要になります。
さらに、攻撃は時間的トリガーを組み込むことが可能で、特定の時刻に発動するロジックボムのように振る舞います。これにより、初期の検査や検出を回避しつつ、狙ったタイミングで攻撃を実行できます。
影響や重要性
この脆弱性はGoogle ChromeやMicrosoft Edge、Brave、Opera、Vivaldiなど、Chromiumを基盤とする主要なブラウザに影響します。これらのブラウザは世界中で広く利用されているため、攻撃が成功すると多くのユーザーが突然のブラウザクラッシュやシステムパフォーマンスの低下に見舞われる恐れがあります。
一方、Mozilla FirefoxやApple Safari、iOS上のサードパーティブラウザはWebKitエンジンを使用しているため、この攻撃の影響は受けません。つまり、エンジンの違いがセキュリティ上の重要な差異となっています。
また、攻撃が単一のURLクリックで発動可能な点は、フィッシングや悪意あるリンクの拡散による被害拡大のリスクを高めています。時間的制御機能により、攻撃者は検出を逃れつつ精密なタイミングで攻撃を仕掛けられるため、対策が急務です。
まとめ
「Brash」脆弱性はChromiumのBlinkエンジンにおけるdocument.title更新のレートリミット欠如を突いた深刻な問題であり、単一のURLでブラウザを即時クラッシュさせることが可能です。攻撃は大量のDOM変異を高速で注入し、ブラウザのメインスレッドを飽和させる仕組みで、時間的トリガーによって発動タイミングを制御できる点が特徴です。
影響範囲は主要なChromiumベースブラウザ全般に及び、ユーザーの利便性やシステムの安定性に重大な影響を与えます。今後、Googleなどのベンダーからの修正パッチの公開が期待されており、ユーザーは最新のアップデートを適用することが推奨されます。
