234/69 (IT) ประจำวันพุธที่ 29 เมษายน 2569
นักวิจัยตรวจพบช่องโหว่ CVE-2026-6770 ใน Firefox, Thunderbird และ Tor Browser จัดอยู่ในระดับความรุนแรงปานกลาง โดยช่องโหว่นี้อาจทำให้เว็บไซต์สามารถสร้างตัวระบุเฉพาะเพื่อใช้ในการทำ fingerprinting และชื่อมโยงกิจกรรมของผู้ใช้ข้ามเว็บไซต์ได้ แม้ผู้ใช้จะอยู่ในโหมด Private Browsing หรือใช้งาน Tor Browser ซึ่งออกแบบมาเพื่อเพิ่มความเป็นส่วนตัวก็ตาม
สาเหตุของปัญหาเกี่ยวข้องกับการที่ฟังก์ชัน indexedDB.databases() ซึ่งเปิดเผยลำดับของข้อมูลในลักษณะที่สามารถนำไปใช้เป็นตัวระบุของเซสชันเบราว์เซอร์ได้ โดยใน Private Browsing ชื่อฐานข้อมูลจะถูกจับคู่กับ UUID ที่จัดเก็บไว้ใน global hash table ซึ่งใช้ร่วมกันระหว่างหลาย origin และคงอยู่จนกว่าเบราว์เซอร์จะปิดการทำงาน เมื่อข้อมูลถูกส่งคืนตามลำดับของ hash table โดยไม่มีการจัดเรียงใหม่ ลำดับดังกล่าวจึงอาจถูกใช้เป็นตัวระบุที่มีความเสถียร เพื่อเชื่อมโยงกิจกรรมของผู้ใช้ระหว่างเว็บไซต์ต่าง ๆ ได้
ช่องโหว่ดังกล่าวกระทบความเป็นส่วนตัวของผู้ใช้ เนื่องจากตัวระบุดังกล่าวอาจยังคงอยู่แม้ปิดหน้าต่าง Private Browsing แล้ว หากโปรเซสของเบราว์เซอร์ยังทำงานอยู่ ในกรณีของ Tor Browser ตัวระบุดังกล่าวยังคงอยู่แม้ใช้ฟีเจอร์ New Identity ซึ่งออกแบบมาเพื่อล้างข้อมูลและรีเซ็ตเซสชันใหม่ ทั้งนี้ Mozilla ได้ออกแพตช์แก้ไขแล้วใน Firefox 150, Firefox ESR 140.10 รวมถึงอัปเดตของ Thunderbird ที่เผยแพร่เมื่อวันที่ 21 เมษายน 2569 ขณะที่ Tor Project ได้ออก Tor Browser 15.0.10 เพื่อแก้ไขปัญหาดังกล่าวแล้ว