Mozilla har täppt en sårbarhet i Firefox och Tor Browser som gick att använda för att spåra användare över internet. Buggen fanns i webbläsarens IndexedDB-funktion och fungerade både i vanligt läge, i privata fönster och mellan olika Tor-sessioner.
Sårbarheten upptäcktes av forskningsteamet på FingerprintJS och har fått beteckningen CVE-2026-6770. Den är åtgärdad i Firefox 150, Firefox ESR 140.10 och Tor Browser 15.0.10, som släpptes förra veckan. Användare uppmanas att uppdatera till de senaste versionerna.
Så fungerar buggen
IndexedDB är ett gränssnitt i Firefox som låter webbplatser lagra data i webbläsaren för framtida besök. När en användare besöker en preparerad webbplats eller exponeras för en preparerad annons kan en angripare skapa en IndexedDB-databas i webbläsaren.
Felet ligger i att IndexedDB returnerar innehållet i samma ordning vid varje förfrågan. Den ordningen utgör ett fingeravtryck som kan användas för att känna igen samma användare på olika webbplatser eller över tid.
En aktör som driver flera webbplatser kan på så vis matcha besökare mot kända fingeravtryck och följa deras rörelser, även om de använder privat läge eller byter Tor-session.
Påverkar både Firefox och Tor Browser
Eftersom problemet finns i Firefox-motorn Gecko och i hur IndexedDB är implementerat påverkas även Tor Browser, som bygger på Firefox.
Mozilla har inte beskrivit hur sårbarheten åtgärdats. Forskarna bakom upptäckten anser att IndexedDB inte ska exponera sin interna lagringsordning, alternativt att innehållet bör returneras enligt en förutbestämd ordning.
Källa: Risky Bulletin: New fingerprinting technique can track Tor users