Компания Zerodium занимается тем, что продаёт и покупает уязвимости в программном обеспечении. Она объявила в Твиттере, что в версии браузера Tor 7.x была найдена уязвимость. Эта уязвимость позволяет обойти систему безопасности пользователя и задействовать эксплоиты для JavaScript. Затронута только версия Tor 7.x, в 8.0 таких проблем нет.
Несколько версий назад разработчики проекта решили добавить ползунок безопасности. Он был призван повысить надёжность сессий за счёт отключения нескольких функций, в том числе JavaScript. Для этого ползунок взаимодействует с расширением NoScript.
Обнаруженный эксплоит способен обойти блокировку скрипта в NoScript, что заставляет JavaScript продолжать работу и может выдать пользователя в глобальной сети. Эксплоит не работает в Tor Browser 8.0, поскольку в его основе лежит Firefox Quantum. Там разработчики многих расширений для браузера, включая NoScript, должны были выполнить рефакторинг кода, чтобы он смог продолжать работать с новой версией. Эти изменения в результате сломали работу эксплоита.
Разработчик NoScript уже выпустила обновление и для классической версии, чтобы обеспечить защиту от уязвимости.
Компания Zerodium приобрела эксплоит много месяцев назад и делилась им с правительственными организациями. Таким образом, хотя браузер Tor и считается более надёжным по сравнению с другими, стопроцентной защиты не гарантирует даже он.
