独占 ChromiumのBlinkレンダリングエンジンに存在する重大かつ未修正のバグが、数秒で多くのChromium系ブラウザをクラッシュさせ、サービス拒否状態を引き起こすことができます。テストによってはホストシステム自体がフリーズする場合もあります。
セキュリティ研究者のJose Pino氏がこの脆弱性を発見し、世界中の数十億人に影響を与える脆弱性を実証するための概念実証(PoC)エクスプロイトBrashを作成しました。
Chromeは世界で最も人気のあるブラウザで、市場シェアは70%以上にのぼります(StatCounter調べ)。これはMicrosoft Edge、OpenAIのChatGPT Atlas、Brave、Vivaldiなど、オープンソースのChromium系ブラウザの利用者を含まない数字です。ITUによるとインターネット利用者は55億人にのぼり、Chromeだけでも30億人以上が利用していることになります。
Brashは、Chromium系ブラウザで使用されているBlinkレンダリングエンジンのアーキテクチャ上の欠陥を突いています。Pino氏はAndroid、macOS、Windows、Linuxの主要11ブラウザでPoCをテストし、そのうち9つで15~60秒以内にブラウザがクラッシュすることを確認しました。これはChromiumバージョン143.0.7483.0以降に影響します。
「攻撃ベクトルは、document.title APIの更新にレート制限が全く存在しないことに起因します」とPino氏はGitHubで公開した研究で述べています。「これにより、毎秒数百万回のDOM変異を注入でき、その試みの間にメインスレッドが飽和し、イベントループが妨害され、インターフェースが崩壊します。」
The RegisterはEdgeでこのコードをテストし、ブラウザがクラッシュしただけでなく、約30秒後にはWindowsマシン自体がフリーズし、1つのタブで18GBものRAMを消費しました。
Pino氏はThe Registerに独占的にこのバグについて語り、8月28日に最初にChromiumセキュリティチームに報告し、8月30日にフォローアップしたものの、返答はなかったと述べました。
「問題は見た目以上に深刻です。各社がChromiumを独自にカスタマイズしているため、修正もそれぞれ独立して行う必要があると考えています」と同氏はThe Registerに語りました。
この脆弱性はdocument.titleの更新にスロットリングがないことによるもので、Blinkがリソース消費を制限していない点を悪用しています。
この脆弱性がどのように悪用されるかを示すため、Pino氏は攻撃を3つのフェーズに分けて説明しています。
まず準備フェーズでは、攻撃者が512文字のユニークな16進文字列を100個メモリにプリロードします。同じ文字列を使い回すと攻撃効果が下がるため、「使い回さないことが重要」とPino氏は説明しています。
次に、攻撃は3回連続のdocument.title更新をバーストで実行します。Pino氏はデフォルト設定(バースト:8000、間隔:1ms)を使用し、1秒間に約2400万回の更新が試みられ、これによってブラウザがクラッシュします。
そして第3段階では、継続的な更新がブラウザのメインスレッドを飽和させ、膨大な計算リソースを消費し、他のイベント処理を妨げます。5~10秒でブラウザのタブがフリーズし、10~15秒で崩壊または「ページが応答していません」ダイアログが表示され、15~60秒でChromium系ブラウザは強制終了が必要になります。
このエクスプロイトがランサムウェアにつながることはありませんが、PCを一時的に不安定にし、タブ内の未保存の作業が失われる可能性があります。悪意のあるJavaScriptコードはどんなウェブページにも含めることができ、攻撃者が侵入したサイトに仕込むことも可能です。
The Registerは、影響を受けた9つのブラウザ(Chrome、Edge、Vivaldi、Arc、Dia、Opera、Perplexity Comet、ChatGPT Atlas、Brave)の各社に修正予定について問い合わせました。7社は回答せず、Googleは「調査中」と回答し、Braveは「document.titleに関する独自の挙動はない」と述べました。「Chromiumから修正が提供され次第、実装します」とBraveの広報担当者は述べました。
Pino氏は他のレンダリングエンジンを使う2つのブラウザ、Firefox(Geckoエンジン)とSafari(WebKitエンジン)もテストし、どちらも攻撃に耐性があること、iOS上のすべてのブラウザもWebKitを使うため影響を受けないことを確認しました。
「2か月前に最初の報告をしたにもかかわらず回答がなかったため、幅広いインターネット利用者に影響する深刻な問題に注意を喚起するためにこのPoCを公開することにしました。責任ある開示で迅速な対応が得られない場合、一般の認知が必要だと考えています」とPino氏は述べました。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2025/10/29/brash_dos_attack_crashes_chromium/
