Redazione RHC : 30 octubre 2025 12:18
El investigador José Pino ha presentado una prueba de concepto de una vulnerabilidad en el motor de renderizado Blink utilizado en los navegadores basados en Chromium , demostrando cómo una sola página web puede bloquear muchos navegadores populares y dejar un dispositivo inutilizable en segundos.
Pino publicó el código de Brash , que demostró una degradación masiva de la interfaz de usuario y un bloqueo total de las pestañas en la mayoría de las compilaciones de Chromium probadas.
La vulnerabilidad está relacionada con una característica arquitectónica del procesamiento de document.title: Blink no tiene límite de velocidad para las actualizaciones del título del documento, lo que permite que el script realice millones de cambios en el DOM y sobrecargue el hilo principal en cuestión de milisegundos.
El método de Pino consiste en cargar en memoria un conjunto de cientos de cadenas hexadecimales únicas de 512 caracteres, seguido de breves ráfagas de actualizaciones de títulos en modo de alta frecuencia (ejemplo de configuración: «ráfaga: 8000, intervalo: 1 ms»), lo que da como resultado aproximadamente decenas de millones de intentos de edición por segundo.
Como resultado, las pestañas dejan de responder tras 5-10 segundos, y el navegador se bloquea o requiere un cierre forzado entre 15 y 60 segundos después. En algunas pruebas en Windows, una sola pestaña consumió hasta 18 GB de RAM y provocó el bloqueo del sistema.
Pino probó el prototipo en 11 navegadores de Android, macOS, Windows y Linux. Se encontraron nueve vulnerables, entre ellos Chrome, Edge, Vivaldi, Arc, Dia, Opera, Perplexity Comet, ChatGPT Atlas y Brave .
Dos navegadores con motores distintos, Firefox (Gecko) y Safari (WebKit), no mostraron reproducibilidad, al igual que todas las versiones para iOS, que requieren WebKit. El investigador notificó al equipo de Chromium el 28 de agosto y reiteró el mensaje el 30 de agosto, pero no obtuvo respuesta inmediata. Posteriormente, publicó la prueba de concepto para llamar la atención sobre el problema, a pesar del silencio público.
Al momento de la publicación, la vulnerabilidad no tiene un identificador público; el informe y la prueba de concepto están publicados por el autor en GitHub, y representantes de varios proveedores aún no han proporcionado comentarios detallados.
Si bien la explotación no revela el contenido de las pestañas ni conduce a la ejecución de código arbitrario, puede causar la pérdida de datos no guardados y fallos generalizados, lo que potencialmente convierte cualquier sitio web visitado en una fuente de errores.
RedazioneTras años de tensiones, aranceles, acusaciones mutuas y guerras comerciales que han destrozado el equilibrio de poder mundial, finalmente se ha producido la tan esperada reunión entre Donald Trump y...
La interrupción de los servicios en la nube de Microsoft, ocurrida apenas unas horas antes de la publicación de sus resultados trimestrales, es solo la más reciente de una larga serie de fallos que...
El Departamento de Energía de Estados Unidos (DOE) ha establecido una colaboración estratégica con Nvidia y Oracle para construir siete supercomputadoras de próxima generación impulsadas por IA ,...
Curiosamente, mientras que grandes empresas como Microsoft y Google están añadiendo activamente funciones de IA a sus navegadores, el equipo de desarrollo de Tor ha optado por eliminarlas. @henry, c...
El panorama de la ciberseguridad se vio sacudido recientemente por el descubrimiento de una vulnerabilidad crítica de ejecución remota de código (RCE) en los servicios de actualización de Windows ...
