شرکت امنیتی زیرودیوم که اوایل سال جاری برای کشف آسیبپذیری روز-صفرم در مرورگر Tor یک میلیون دلار پاداش پیشنهاد داده بود، یک آسیبپذیری روز-صفرم را در این مرورگر بهطور عمومی افشاء کرده است. بهرهبرداری از این آسیبپذیری منجر به ارائهی شناسهی کاربر در وبسایتی که بازدید کرده میشود. این آسیبپذیری روز-صفرم در افزونهی NoScript وجود دارد که بهطور پیشفرض در موزیلا فایرفاکس که اساس مرورگر Tor را تشکیل میدهد، وجود دارد.
افزونهی NoScript یک افزونهی رایگان است که کدهای مخرب جاوا اسکریپت، جاوا، فلش و دیگر محتوای مخرب را در صفحات مختلف بهطور پیشفرض مسدود میکند و کاربران میتوانند به خواست خود صفحاتی که به آنها اعتماد دارند را در فهرست سفید قرار دهند. به گفتهی زیرودیوم نسخهی کلاسیک از این افزونه در نسخههای ۵٫۰٫۴ تا ۵٫۱٫۸٫۶ که در نسخهی ۷٫۵٫۶ از مرورگر Tor استفاده شده، قابل دور زدن است. مهاجم با بهرهبرداری از این آسیبپذیری و تغییر سرآیند content-type به فرمت JSON، میتواند هر کد جاوا اسکریپتی را اجرا کند.
به عبارت دیگر، وبسایت مورد نظر میتواند از این آسیبپذیری بهرهبرداری کرده و بر روی مرورگر Tor قربانی، کدهای مخرب جاوا اسکریپت را اجرا کرده و به آدرس IP واقعی قربانی دست یابد. باید به این نکته اشاره کنیم که آخرین نسخه از مرورگر Tor مانند ۸٫۰ تحت تاثیر این آسیبپذیری قرار نگرفتهاند چرا که در طراحی این نسخهها از افزونهی NoScript بهگونهای استفاده شده که دارای PAI های با فرمت متفاوتی هستند. بنابراین به کاربرانی که از نسخههای ۷٫x از مرورگر Tor استفاده میکنند اکیدا توصیه میشود تا به نسخهی ۸٫۰ بهروزرسانی انجام دهند. NoScript نیز با انتشار نسخهی کلاسیک ۵٫۱٫۸٫۷ این آسیبپذیری روز-صفرم را وصله کرده است.