Уязвимость в API IndexedDB, позволяющая идентифицировать пользователей Firefox и Tor Browser

23.04.2026 14:21 (MSK)

В браузерном движке Gecko выявлена уязвимость (CVE-2026-6770), позволяющая формировать уникальные идентификаторы для отслеживания открытия из одного браузера разных сайтов. Проблема проявляется во всех браузерах на основе Firefox, включая Tor Browser, и работает даже в режиме приватного просмотра. Идентификаторы действуют в рамках текущего процесса браузера и сбрасываются после перезапуска браузера. Уязвимость устранена в выпусках Firefox 150/140.10.0 и Tor Browser 15.0.10.

Для формирования идентификатора достаточно на разных сайтах создать через API IndexedDВ одну и ту же последовательность БД, после чего оценить порядок следования этих БД в результате вызова метода indexedDB.databases(). Для разных экземпляров браузера порядок перечисления БД будет отличаться, но для одного - повторяться. Подобный порядок сохраняется до перезапуска браузера и воспроизводится независимо от открываемого сайта.

Например, после создания БД "a,b,c,d,e,f,g,h,i,j,k,l,m,n,o,p,r" в одном экземпляре Firefox метод indexedDB.databases() всегда будет возвращать "g,c,p,a,l,f,n,r,d,j,b,o,h,e,m,i,k", а в другом экземпляре - "j,b,o,h,e,m,i,k,f,n,r,d,g,c,p,a,l". При создании 16 БД можно получить около 44 бит энтропии для идентификации. На генерацию идентификатора не влияет очистка локальных браузерных хранилищ и обновление цепочки Tor-узлов кнопкой "New Identity" в Tor Browser. Метод также может использоваться для идентификации пользователей в окне приватного просмотра.

Уязвимость вызвана особенностью реализации API IndexedDВ, на порядок следования БД в которой влияет раскладка внутренних структур, специфичная для каждого экземпляра рабочего процесса браузера. Порядок элементов в списке БД, возвращаемом методом indexedDB.databases(), зависит не от имён БД или порядка создания БД, а от размещения в глобальной хэш-таблице внутренних UUID-хешей, ассоциированных с именами файлов, в которых хранятся БД на диске.

исправить +5 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/65272-firefox

Ключевые слова: firefox, fingerprint

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (16)

1.1, Аноним (1), 15:19, 23/04/2026 [ответить] [﹢﹢﹢] [ · · · ]	–2 +/–
>Уязвимость устранена в выпусках... Это хорошо. Просто иногда удивляюсь, как некоторые специально не обновляют браузер/ОС, в современном интернете это недопустимо. Это в начале 00-х ещё можно было год сидеть на одной версии.

2.5, Аноним (5), 15:28, 23/04/2026 [^] [^^] [^^^] [ответить]	+4 +/–
Если бы браузер так и оставался просмотрщиком документов, а не средой для запуска непроверенного кода, написанного непонятно кем и зачем, то можно было бы спокойно на одной версии сидеть хоть 5 лет. Когда ты в последний раз парился об обновлении смотрелки PDF? Вот именно. Вся эта игра в кошки-мышки с попытками не допустить побега троянов из песочницы порядком задостала уже, на самом деле.

3.6, Аноним (6), 15:38, 23/04/2026 [^] [^^] [^^^] [ответить]	+2 +/–
это документы всегда исполняли произвольный код, ещё с 90х

3.7, Фняк (?), 15:45, 23/04/2026 [^] [^^] [^^^] [ответить]	+4 +/–
> Когда ты в последний раз парился об обновлении смотрелки PDF Ахахах, вот уж где дыр нашли чуть меньше чем во флэше, так это в просмотрщиках pdf

2.8, Аноним (8), 15:50, 23/04/2026 [^] [^^] [^^^] [ответить]	+/–
Так не надо неделями держать браузер запущенным: попользовался - закрыл . Написано же при перезапуске сбрасывается .

3.11, Аноним (11), 16:08, 23/04/2026 [^] [^^] [^^^] [ответить]	+1 +/–
И мобилу на ночь выключать! А то не известно сколько там в темноте зубных врачей!

2.9, Аноним (9), 15:59, 23/04/2026 [^] [^^] [^^^] [ответить]	+/–
> Просто иногда удивляюсь, как некоторые специально не обновляют браузер Обновление браузера - это канал утечки для идентификации юзера. Цепочка версий обновления - и есть тот идентификатор.

3.15, Аноним (1), 16:27, 23/04/2026 [^] [^^] [^^^] [ответить]	+/–
Так с 4.0 уже можно обновляться ? https://opennet.ru/29978-firefox

1.2, вах (ok), 15:20, 23/04/2026 [ответить] [﹢﹢﹢] [ · · · ]

+/–

Для Firefox это не предел!

"Релиз Firefox 150 с устранением 359 уязвимостей" (с) https://www.opennet.me/opennews/art.shtml?num=65260

2.3, Аноним (1), 15:25, 23/04/2026 [^] [^^] [^^^] [ответить]	+/–
Так в первом же абзаце написано, что уязвимость устранена в выпусках Firefox 150/140.10

3.13, Аноним (13), 16:18, 23/04/2026 [^] [^^] [^^^] [ответить]	+/–
А сколько уязвимостей оставили?

3.14, Аноним (14), 16:23, 23/04/2026 [^] [^^] [^^^] [ответить]	+/–
А вы подумали, сколько они были открыты?! Прежде чем они были закрыты!!! Компенсацию за это будут выплачивать? Нет. А в Chrome всё нормально!

1.4, Bob (??), 15:26, 23/04/2026 [ответить] [﹢﹢﹢] [ · · · ]	+/–
>действуют в рамках текущего процесса браузера и сбрасываются после перезапуска браузера даже с контейнерными вкладками?

1.10, Смузихлеб забывший пароль (?), 16:02, 23/04/2026 [ответить] [﹢﹢﹢] [ · · · ]	+/–
> включая Tor Browser, и работает даже в режиме приватного просмотра ви таки будете смеяться, но... )

1.12, Аноним (13), 16:16, 23/04/2026 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Какая случайность. И помог бы тут Раст? (Нет)

2.16, Аноним (16), 16:28, 23/04/2026 [^] [^^] [^^^] [ответить]	+/–
раст помогает только в связке с меньшинствами, сам по себе ничего не исправит

Добавить комментарий

Текст: