Onderzoekers hebben een kwetsbaarheid ontdekt die kwaadwillenden in staat stelt om Firefox-gebruikers te fingerprinten, zelfs wanneer zij de Private Browsing-modus gebruiken. Deze kwetsbaarheid treft ook de Tor-browser, die gebaseerd is op Firefox. Het probleem, geregistreerd als CVE-2026-6770, houdt verband met de IndexedDB API, een browserfunctie voor het opslaan van gestructureerde data aan de clientzijde.

Firefox slaat de namen van IndexedDB-databases op met interne UUID-mappingen. Wanneer een website deze databases opvraagt, blijft de volgorde waarin ze worden teruggegeven consistent over verschillende sites zolang hetzelfde browserproces actief is. Dit maakt het mogelijk voor verschillende, niet-verwante websites om dezelfde volgorde te observeren en zo gebruikersactiviteiten over domeinen heen te koppelen zonder gebruik te maken van cookies of gedeelde opslag. De fingerprint blijft behouden bij het herladen van pagina’s en nieuwe private sessies, totdat de browser volledig wordt afgesloten en opnieuw gestart.

Deze kwetsbaarheid kan worden misbruikt om gebruikers te fingerprinten in Firefox’s Private Browsing-modus en zelfs wanneer de New Identity-functie van Tor wordt gebruikt. Die functie is juist ontworpen om gebruikersactiviteiten over verschillende sites te isoleren door browsegeschiedenis, cookies en actieve verbindingen te wissen. Onderzoekers leggen uit dat de stabiele identifier in Tor Browser de isolatie van de New Identity-functie binnen een lopend browserproces effectief ondermijnt, waardoor websites sessies kunnen koppelen die normaal volledig gescheiden zouden moeten zijn (uitleg onderzoekers).

Mozilla heeft CVE-2026-6770 opgelost met de release van Firefox 150. De kwetsbaarheid kreeg een classificatie van ‘medium severity’ en werd omschreven als een “ander probleem in de Storage: IndexedDB component” (security advisory Mozilla). Ook het Tor Project heeft de patch overgenomen en uitgerold naar gebruikers met de uitgave van Tor Browser 15.0.10.