研究人員發現了一個漏洞，該漏洞可能允許攻擊者識別 Firefox 用戶，即使在隱私瀏覽模式下也是如此。基於 Firefox 的 Tor 匿名瀏覽器也有相同的問題。此漏洞編號為 CVE-2026-6770，與 IndexedDB 瀏覽器 API 有關，該 API 用於在用戶端儲存結構化資料。

Firefox 使用內部 UUID 映射來儲存 IndexedDB 資料庫名稱，當網站列出這些資料庫時，在同一個瀏覽器進程運行時，不同網站上傳回的資料庫順序保持不變。這使得互不相關的網站能夠獨立地觀察到相同的排序方式，並利用這種方式在無需任何 Cookie 或共享儲存的情況下，將使用者在不同網域的活動關聯起來。這種指紋資訊會在頁面重新載入和新的私密會話後仍然保留，直到瀏覽器完全重新啟動為止。

威脅行為者可以利用這一點，在 Firefox 的隱私瀏覽模式下，甚至在使用 Tor 的新身分功能時，對使用者進行指紋識別。Mozilla 在 Firefox 150 版本中修復了 CVE-2026-6770。該組織將該漏洞的嚴重程度評為“中等”，並僅將其描述為“儲存：IndexedDB 元件中的其他問題”。Tor 專案也採用了該補丁，並在上週隨著Tor 瀏覽器 15.0.10的發布而推廣給用戶。

資料來源：https://www.securityweek.com/firefox-vulnerability-allows-tor-user-fingerprinting/