研究者は、Private Browsingモード中であっても、脅威行為者がFirefoxユーザーをフィンガープリンティングできる脆弱性を発見しました。この問題はFirefoxをベースとしたTor匿名ブラウザにも影響します。
CVE-2026-6770として追跡されているこの脆弱性は、クライアント側で構造化データを保存するために使用されるIndexedDB ブラウザAPIに関連しています。
Firefoxは内部UUIDマッピングを使用してIndexedDBデータベース名を保存し、Webサイトがそれらのデータベースをリストアップする場合、同じブラウザプロセスが実行されている間、異なるサイト間で返される順序は同じままです。
[ 読む: Claude Mythosが271のFirefox脆弱性を発見 ]
これにより、無関係なサイトが独立して同じ順序を観察し、クッキーや共有ストレージなしにユーザーのアクティビティをドメイン間でリンクするために使用できます。フィンガープリントは、ブラウザが完全に再起動されるまで、リロードや新しいプライベートセッション全体で持続します。
脅威行為者はこれを悪用して、FirefoxのPrivate Browsingモード中であっても、TorのNew Identity機能を使用する場合であっても、ユーザーをフィンガープリンティングできます。
TorのNew Identity機能は、閲覧履歴、クッキー、およびアクティブな接続をクリアすることにより、異なるサイト間のユーザーのアクティビティがリンクされるのを防ぐように特別に設計されています。
「Tor Browserでは、安定識別子は実行中のブラウザプロセス内でTor Browserの「New Identity」分離を効果的に回避し、Webサイトが完全に互いに分離されていると予想されるセッションをリンクできるようにします」と、研究者は説明しました。
MozillaはFirefox 150のリリースでCVE-2026-6770にパッチを適用しました。この組織は欠陥に「中程度の重大度」の評価を割り当て、それを「Storage: IndexedDBコンポーネントのその他の問題」としてのみ説明しました。
Tor Projectはパッチを採用し、先週Tor Browser 15.0.10のリリースでユーザーにロールアウトしました。
翻訳元: https://www.securityweek.com/firefox-vulnerability-allows-tor-user-fingerprinting/
