- A vulnerabilidade CVE-2026-6770 permitia rastrear usuários do Firefox e do Tor Browser mesmo em sessões de navegação privada; a correção chegou no Firefox 150, ESR 140.10.0 e em atualizações do Thunderbird em 21 de abril de 2026, com o Tor Browser 15.0.10 lançado em seguida.
- O problema estava na API indexedDB.databases(), que devolvia metadados de bancos de dados locais e criava identificadores universais únicos (UUID) armazenados em uma tabela hash compartilhada, causando fingerprint determinístico.
- Sites conseguiam vincular atividade entre origens ao observar a ordem de retorno dos dados da API, sem depender de cookies ou login.
- Os UUIDs persistiam durante toda a execução do processo do navegador, permanecendo mesmo após o fechamento de janelas privadas; no Tor Browser, o recurso New Identity ficava ineficaz.
- A correção adotada foi ordenar os resultados em ordem canônica (por exemplo, lexicográfica) antes de retorná-los, eliminando a entropia sem comprometer a API.
A Mozilla corrigiu uma falha de privacidade que permitia rastrear usuários mesmo em navegação privada. A vulnerabilidade, identificada como CVE-2026-6770, impactava Firefox e Tor Browser, com efeitos persistentes ao fim de sessões. A correção chegou em 21 de abril de 2026.
O problema estava ligado ao IndexedDB, uma API que armazena dados localmente. Em modo privado, o navegador expunha identificadores estáveis gerados internamente, permitindo rastreamento entre abas e origens sem cookies. A falha tornou possível vincular visitas subsequentes.
Sites poderiam observar a ordem devolvida pela API para criar uma impressão digital determinística do navegador. O identificador era mantido ativo durante toda a sessão do navegador, mesmo após fechar janelas privadas.
O que mudou e quem envolvido
A Mozilla divulgou as correções para Firefox 150 e ESR 140.10.0, além de atualizações do Thunderbird, todas lançadas em 21 de abril de 2026. O Tor Project respondeu com o Tor Browser 15.0.10 para conter o rastreamento.
Detalhes técnicos e impacto
A falha ocorria por causa da forma como o Gecko implementa a API indexedDB.databases(). A tabela hash global armazenava UUIDs, compartilhados entre origens, gerando uma sequência determinística. A técnica não exigia credenciais.
Correção aplicada
A solução consistiu em ordenar os resultados da API em ordem canônica antes de devolvê-los à página. Assim, permanece a utilidade da API sem manter a entropia determinística interna. A medida evita o fingerprinting descrito sem alterar a função básica.
O que isso significa para usuários
Usuários que não atualizaram permanecem vulneráveis ao fingerprinting descrito. A correção elimina a entropia usada pelos atacantes, preservando a funcionalidade da API para desenvolvedores. Não houve necessidade de configuração ou interação do usuário.
Entre na conversa da comunidade