Una vulnerabilità critica e attualmente priva di patch scoperta nel motore di rendering Blink di Chromium minaccia miliardi di utenti in tutto il mondo.
Il bug, se sfruttato, può essere utilizzato per mandare in crash la maggior parte dei browser basati su Chromium in pochi secondi, causando una condizione di denial-of-service (DoS) e, in alcuni test, portando persino al blocco completo del sistema operativo ospite.
L’attacco manda in crash tutti i browser basati su Chromium
La falla è stata identificata dal ricercatore di sicurezza Jose Pino, che ha anche creato un proof-of-concept per l’exploit, battezzato Brash, per dimostrare la portata del problema.
L’impatto di questa vulnerabilità è potenzialmente vasto. Chrome, il browser di punta di Google, detiene da solo oltre il 70% della quota di mercato globale secondo StatCounter. Questo dato non include nemmeno l’enorme numero di utenti che utilizzano altri browser popolari basati sul codice open-source di Chromium, tra cui Microsoft Edge, Brave, Vivaldi, Opera e persino applicazioni emergenti come ChatGPT Atlas di OpenAI.
Considerando che l’Unione Internazionale delle Telecomunicazioni (ITU) stima circa 5,5 miliardi di utenti Internet, si può dedurre che il solo Chrome sia utilizzato da più di 3 miliardi di persone, tutte potenzialmente esposte.
Come funziona l’attacco Brash
Brash sfrutta una debolezza architetturale in Blink, il motore di rendering che costituisce il cuore di tutti i browser basati su Chromium. Pino ha testato il suo concept su 11 dei principali browser disponibili per Android, macOS, Windows e Linux, scoprendo che ben nove di essi sono vulnerabili.
L’attacco, che colpisce le versioni di Chromium dalla 143.0.7483.0 in poi, provoca il collasso del software in un tempo stimato tra i 15 e i 60 secondi.
“Il vettore di attacco ha origine dalla completa assenza di ‘rate limiting’ (limitazione della frequenza) sugli aggiornamenti dell’API document.title“, ha spiegato Pino nella ricerca pubblicata su GitHub. “Questo permette di iniettare milioni di mutazioni DOM (Document Object Model) al secondo. Durante questo tentativo di iniezione, si satura il thread principale, disturbando l’event loop e causando il collasso dell’interfaccia“.
Per dimostrare la gravità del problema, la testata The Register ha eseguito il codice PoC su Microsoft Edge. L’esperimento non solo ha causato il crash immediato del browser, ma ha anche bloccato l’intera macchina basata su Windows dopo circa 30 secondi, registrando un consumo di memoria RAM pari a 18GB per una singola scheda.
Pino ha descritto l’attacco in tre fasi distinte. Nella prima fase l’attaccante pre-carica in memoria 100 stringhe esadecimali uniche. Successivamente, l’attacco esegue raffiche di aggiornamenti del document.title (con una configurazione di default di 8000 raffiche al millisecondo), tentando circa 24 milioni di aggiornamenti al secondo.
Infine, nella terza fase, questi aggiornamenti continui saturano il thread principale del browser, consumando enormi quantità di risorse di calcolo e impedendo l’elaborazione di altri eventi. Entro 5-10 secondi, le schede si bloccano; entro 10-15 secondi, il browser collassa; e tra i 15 e i 60 secondi, è necessaria la chiusura forzata.
Sebbene l’exploit non porti a conseguenze come l’installazione di ransomware, può comunque causare seri disagi, bloccando il PC dell’utente e portando alla perdita di qualsiasi lavoro non salvato nelle schede aperte. Il codice JavaScript malevolo può essere ospitato su qualsiasi pagina web.
La denuncia pubblica dopo il silenzio di Google
Pino ha dichiarato di aver segnalato inizialmente il bug al team di sicurezza di Chromium il 28 agosto, inviando un sollecito il 30 agosto, senza però ricevere alcuna risposta.
“Il problema è più serio di quanto sembri, poiché ogni azienda che utilizza Chromium ha funzionalità personalizzate, il che mi porta a credere che la correzione debba essere indipendente per ciascuna di esse“, ha affermato Pino.
La decisione di rendere pubblica la vulnerabilità è stata presa, secondo il ricercatore, per “attirare l’attenzione su un problema grave che colpisce un vasto numero di utenti Internet, dopo che la mia segnalazione iniziale di due mesi fa è rimasta senza risposta. Credo che la consapevolezza pubblica sia necessaria quando la divulgazione responsabile non produce una mitigazione tempestiva“.
Google ha dichiarato che sta “esaminando il problema“, mentre un portavoce di Brave ha affermato che implementeranno la correzione “quando verrà fornita da Chromium“.
Chi è al sicuro?
Come anticipato dal titolo, esistono eccezioni significative. Pino ha confermato che i due principali browser che non utilizzano il motore Blink sono immuni all’attacco Brash. Si tratta di Firefox, che utilizza il proprio motore Gecko e di recente ha avviato una fase di test per l’integrazione di una VPN, e di Safari, che si basa su WebKit di Apple.
Di conseguenza, anche tutti i browser in esecuzione su iOS o iPadOS (come Chrome per iPhone) sono al sicuro, poiché Apple impone che tutte le applicazioni browser sul suo sistema operativo mobile utilizzino il motore WebKit.
Apple ha di recente anche consigliato a tutti l’uso di Safari invece che Chrome sui dispositivi del marchio, dando motivazioni legate alla privacy e alla sicurezza.
