Logo TecMundo
Segurança

Falha de segurança do Chromium pode derrubar 3 bilhões de navegadores

Google foi alertado e não respondeu; vulnerabilidade na renderização de sites pode colapsar um navegador em menos de 1 minuto

Avatar do(a) autor(a): Cecilia Ferraz
Cecilia Ferraz

schedule30/10/2025, às 18:00

updateAtualizado em 30/10/2025, às 18:23

Imagine se alguém pudesse travar a maioria dos navegadores de internet em menos de 1 minuto – especialistas em cibersegurança descobriram que isso já é possível. A falha, identificada como Brash, explora uma vulnerabilidade na arquitetura do Blink, que faz a renderização dos sites, e afeta todos os mais de 3 bilhões de usuários de navegadores Chromium, como o Google Chrome, Edge, Brave, Opera, Vivaldi, Arc Browser e até o recém-lançado Atlas da OpenAI.

A equipe do Chromium foi alertada pelo denunciante e não houve devolutiva sobre caso.

smart_display

Nossos vídeos em destaque

De acordo com Jose Pino, pesquisador que descobriu a falha, o problema está concentrado numa API JavaScript básica, usada por desenvolvedores para nomear sites – o document.title

Como funciona a vulnerabilidade

Esse recurso é capaz de mudar o texto que aparece na aba do navegador, mas pra fazer isso acontecer, existem muitos passos executados no Blink, o mecanismo de renderização que transforma o código em site.

Leia Mais
Drone ucraniano acha 'armazém de antiguidades' durante missão

Basicamente, toda vez que alguém altera o document.title, o Blink tem que criar uma mutação do DOM, que funciona como uma árvore de elementos; essa mutação entra numa fila para ser processada e então o navegador aplica aquela alteração. 

Até aí tudo normal, o problema é que o document.title não tem nenhuma limitação, então os cibercriminosos podem fazer até 24 milhões de alterações por segundo e travar completamente o navegador entre 15 e 60 segundos. Nesse meio tempo, além de colapsar o navegador, esse bug pode até mesmo requerer o encerramento forçado das ferramentas.

Um recurso crítico que amplifica o perigo do Brash é sua capacidade de ser programado para executar em momentos específicos. Um atacante pode injetar o código com um gatilho temporal, permanecendo dormente até um momento exato predeterminado. Atacantes podem programar isso dias antes e acionar durante janelas críticas: abertura do mercado de ações, troca de plantão em hospitais, eventos de e-commerce como Black Friday, ou transmissões ao vivo.

Navegadores como o Safari e FireFox não são afetados por essa brecha porque usam outros motores de renderização.

Leia Mais
Malware Keenadu ataca celulares Android de brasileiros

Essa falha acontece porque o document.title foi projetado nos primórdios da internet, quando sites eram estáticos e simples, quase não se usava JavaScript e, principalmente, ninguém imaginava que o cibercirme evoluiria para explorar vulnerabilidades como essa. O Brash não usa nenhuma técnica sofisticada de hacking, mas ajuda a lembrar a importância de considerar a cibersegurança na hora de criar infraestruturas.

Outro grande problema nessa brincadeira é que Pino denunciou a falha pro Google em 28 de agosto, e até agora a big tech não só deixou o pesquisador no vácuo, como ainda não liberou qualquer patch que corrija essa vulnerabilidade.

Para acompanhar mais casos como esse, siga o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e canal do YouTube para mais notícias de tecnologia e segurança.

Perguntas Frequentes

O que é a falha de segurança Brash e como ela funciona?
Brash é uma vulnerabilidade descoberta na arquitetura do Blink, o mecanismo de renderização usado por navegadores baseados no Chromium. Ela explora o uso excessivo da API JavaScript document.title, que altera o texto exibido na aba do navegador. Ao realizar até 24 milhões de alterações por segundo, a falha sobrecarrega o sistema de mutações do DOM, travando completamente o navegador em menos de um minuto.
Quais navegadores são afetados pela falha Brash?
Todos os navegadores baseados no Chromium são vulneráveis, incluindo Google Chrome, Microsoft Edge, Brave, Opera, Vivaldi, Arc Browser e o Atlas da OpenAI. Navegadores como Safari e Firefox não são afetados, pois utilizam motores de renderização diferentes do Blink.
Por que a API document.title representa um risco de segurança?
A document.title foi criada nos primórdios da internet, quando os sites eram estáticos e o uso de JavaScript era limitado. Por não ter restrições de uso, ela permite alterações ilimitadas no título da aba, o que pode ser explorado por cibercriminosos para sobrecarregar o navegador e causar falhas graves.
Quais são os impactos práticos dessa vulnerabilidade?
Além de travar o navegador em 15 a 60 segundos, a falha pode exigir o encerramento forçado do programa. Como o ataque pode ser programado para ocorrer em horários específicos, ele pode ser usado para sabotar eventos críticos como aberturas de mercado, plantões hospitalares, promoções de e-commerce ou transmissões ao vivo.
O Google respondeu à denúncia da falha?
Não. O pesquisador Jose Pino informou que notificou a equipe do Chromium sobre a falha em 28 de agosto, mas até o momento não recebeu resposta nem houve liberação de um patch de correção por parte do Google.
O ataque Brash exige técnicas avançadas de hacking?
Não. A falha não utiliza métodos sofisticados de invasão. Ela se aproveita de uma funcionalidade básica e mal protegida do navegador, o que evidencia a importância de considerar a segurança cibernética desde a concepção das infraestruturas digitais.
Avatar do(a) autor(a): Cecilia Ferraz
Cecilia Ferraz

Cecilia Ferraz é formada em Jornalismo pela Universidade Metodista de São Paulo. Repórter do TecMundo Security, especializada em cibersegurança, tecnologia e negócios.

local_mall

Ofertas TecMundo

Atualizado há 4 horas
Fone Bluetooth HUAWEI FreeClip 2
51% off

Compre já!

Fone Bluetooth HUAWEI FreeClip 2

R$ 643,00

Áudio amazon.com.brnew_releases
Controle DualSense, PS5
26% off

Imperdível!

Controle DualSense, PS5

R$ 369,00

Gamer amazon.com.brnew_releases
Kindle, 16GB
14% off

Aproveite já!

Kindle, 16GB

R$ 559,00

Tablets amazon.com.brnew_releases
Echo Spot
19% off

Imperdível!

Echo Spot

R$ 469,00

Casa Inteligente amazon.com.brnew_releases
Smartphone Samsung Galaxy S25+ 5G, 256GB
45% off

Cupom GANHOU100

Smartphone Samsung Galaxy S25+ 5G, 256GB

R$ 4.409,10

Celulares magazineluiza.com.brnew_releases
Smartphone POCO C85, 256GB
37% off

Cupom GANHOU50

Smartphone POCO C85, 256GB

R$ 994,76

Celulares magazineluiza.com.brnew_releases
local_mall

Guia de Compras TecMundo

As melhores promoções e cupons para sua próxima compra!

Confira todas as ofertas
star

Continue por aqui

Imagem de Estadão
Estadão
Imagem de Lançamentos
Lançamentos
Imagem de Gadgets
Gadgets
Imagem de Cibersegurança
Cibersegurança
Imagem de Filmes e séries
Filmes e séries
Imagem de Mercado
Mercado
Imagem de Cupons
Cupons
Imagem de Internet
Internet
Imagem de Games
Games
Imagem de Apostas
Apostas
Imagem de Ciência
Ciência
Imagem de Software
Software
Imagem de IA
IA