Brash, c’est le nom de l’exploit découvert par Jose Pino et qui peut faire planter, en quelques secondes, n’importe quel navigateur basé sur Chromium : Google Chrome, Microsoft Edge, Brave, ChatGPT Atlas, etc… Voici ce que l’on sait.
Brash ou comment casser Chromium en quelques secondes
Le chercheur en sécurité Jose Pino a découvert une faille logicielle dans Blink, le moteur de rendu des navigateurs basés sur Chromium. Il a publié un proof-of-concept nommé Brash pour démontrer l’exploitation de cette attaque pouvant mener à un déni de service au niveau du navigateur, et même dans certains cas, faire planter l’ordinateur.
“Le vecteur d’attaque provient de l’absence totale de rate limiting sur les mises à jour de l’API document.title.”, explique Jose Pino. Il fait référence au rate limiting, c’est-à-dire à la fréquence de mise à jour du titre de document, par l’intermédiaire de Blink. Cela permettrait d’injecter des millions de mutations DOM par seconde et de provoquer le crash complet du navigateur : un bel exemple de déni de service.
Selon les tests de Jose Pino sur 11 navigateurs populaires sur les différents OS (Android, macOS, Windows, Linux), Brash fonctionne sur 9 d’entre eux et provoque un plantage des navigateurs en 15 à 60 secondes. Dans certains cas, le navigateur Microsoft Edge a non seulement planté, mais l’attaque a aussi bloqué totalement la machine Windows au bout d’environ 30 secondes : un seul onglet a consommé 18 Go de RAM, ce qui a saturé la RAM de la machine.
Impact, portée et réactions des éditeurs
La vulnérabilité touche les navigateurs basés sur les versions Chromium 143.0.7483.0 et supérieures, soit potentiellement des milliards d’utilisateurs ! En effet, aujourd’hui, Chrome, basé sur Chromium, représente plus de 70% de parts de marché et d’autres navigateurs populaires sont basés sur Chromium.
Voici la liste des navigateurs vulnérables : Google Chrome, Microsoft Edge, Vivaldi, Brave, Opera, Arc, Dia, et même les petits nouveaux Perplexity Comet et ChatGPT Atlas.
À l’inverse, Jose Pino affirme que Mozilla Firefox (Gecko) et Apple Safari (WebKit) ne sont pas vulnérables à cette attaque. Par ailleurs, tous les navigateurs sur iOS sont également immunisés, car le composant WebKit obligatoire.
Les journalistes de chez The Register ont tenté d’en savoir plus auprès des éditeurs de ces navigateurs, à commencer par Google. Le géant américain indique être en train d’étudier le problème… Tandis que du côté de Brave, on attend sagement qu’un correctif soit intégré à Chromium. À l’heure actuelle, il n’y a donc pas de correctif pour ce bug.
De son côté, Jose Pino justifie la publication publique du PoC par la nécessité d’alerter les utilisateurs à ce sujet. “Je pense que la sensibilisation du public est nécessaire lorsque la divulgation responsable ne produit pas d’atténuation en temps voulu.”, précise-t-il.
Si vous voulez tester, accédez au site brash.run, mais attention, cela va faire planter votre navigateur (après validation sur la page de destination).
Source
Ingénieur système et réseau, cofondateur d’IT-Connect et Microsoft MVP “Cloud and Datacenter Management”. Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.