Een ernstig beveiligingslek in Tor Browser 7 maakt het mogelijk om JavaScript uit te voeren, ook als gebruikers hebben ingesteld dat alle JavaScript-code moet worden geblokkeerd. Dat laat het bedrijf Zerodium op Twitter weten. Zerodium is een bedrijf dat onderzoekers betaalt voor zeroday-lekken.

Deze zeroday-lekken worden niet aan de softwareontwikkelaar gemeld, maar gedeeld met een "beperkt aantal" bedrijven en overheden, zo laat het bedrijf op de eigen website weten. In september loofde Zerodium 1 miljoen dollar uit voor onbekende kwetsbaarheden in Tor Browser waardoor de systemen van gebruikers konden worden overgenomen. Dagelijks maken zo'n 2 miljoen mensen gebruik van het Tor-netwerk om hun ip-adres en privacy te beschermen. Het gaat onder andere om activisten en journalisten in totalitaire regimes, alsmede mensen in landen waar censuur heerst.

Om gebruikers tegen aanvallen te beschermen biedt Tor Browser allerlei extra beschermingsmaatregelen. Zo is standaard de Firefox-extensie NoScript toegevoegd die het uitvoeren van JavaScript blokkeert. Bij veel aanvallen tegen browsers is het nodig om JavaScript uit te voeren. Door een kwetsbaarheid in Tor Browser 7 is het echter mogelijk om deze maatregel te omzeilen en toch JavaScript uit te voeren. Dit lek zou in combinatie met een andere aanval of kwetsbaarheid kunnen worden gebruikt. Alleen op zichzelf is de kwetsbaarheid niet voldoende om het systeem van een Tor Browser-gebruiker over te nemen. Vorige week lanceerde het Tor Project een nieuwe versie van Tor Browser. Deze versie, Tor Browser 8, is niet kwetsbaar, aldus Zerodium.