Die Schwachstelle CVE-2026-6770 offenbart ein grundlegendes Problem in der Art, wie Firefox die IndexedDB-Komponente handhabt. Das System speichert Datenbanknamen mittels interner UUID-Zuordnungen. Wenn eine Website diese Datenbanken auflistet, bleibt die Reihenfolge während einer Browser-Sitzung gleich – und genau dies ist das Problem.
Das Kernproblem: Mehrere unabhängige Websites können diese identische Ordnung beobachten und als stabilen Identifier nutzen, um Nutzeraktivitäten domainübergreifend zu verlinken. Der Fingerabdruck bleibt selbst nach Seiten-Neuladen und neuen privaten Sitzungen bestehen – bis der Browser vollständig neu gestartet wird. Für Nutzer im Privaten Modus oder in Tor ist das ein erhebliches Sicherheitsrisiko.
Besonders problematisch ist die Auswirkung auf Tor Browser. Die “New Identity”-Funktion in Tor wurde speziell dazu entwickelt, Browserchronik, Cookies und aktive Verbindungen zu löschen, um eine Isolation zwischen verschiedenen Sitzungen zu garantieren. Durch diese Schwachstelle können Websites Sessions verlinken, die eigentlich vollständig isoliert sein sollten. Das untergräbt das Vertrauen von Nutzern, die Tor gerade wegen dieser Isolationsfunktionen nutzen.
Mozilla hat die Lücke als “Medium Severity” eingestuft und mit Firefox 150 gepatcht. Die recht niedrig eingestufte Schweregrad-Klassifizierung könnte Nutzer verleiten, das Update zu unterschätzen – doch für Privacy-bewusste Anwender ist dieses Patch essentiell. Das Tor Project rollte die Lösung eine Woche später mit Tor Browser 15.0.10 aus.
Für deutsche Unternehmen, die Firefox als Standard-Browser einsetzen, und insbesondere für Organisationen im Journalismus, Aktivismus und Rechtswesen sollte das Update Priorität haben. Das BSI empfiehlt generell, Sicherheitsupdates zeitnah einzuspielen. Zwar ist die IndexedDB-Schwachstelle nicht mit den schwerwiegendsten Angriffsszenarien gleichzusetzen, doch in Kombination mit anderen Tracking-Methoden könnte sie Deanonymisierungsangriffen Vorschub leisten.