A Zerodium expôs no twitter a vulnerabilidade zero day no TOR, que é um browser baseado no Firefox usado para quem queira navegar anonimamente na web. Segundo a empresa, esta vulnerabilidade de full bypass é válida mesmo que a configuração de segurança esteja no nível mais avançado, isto é, a extensão NoScript bloqueia todos os scripts que queiram ser executados no browser do user. Esta extensão usa uma abordagem whitelist para permitir que o user decida quais os domínios que deseja que o browser execute Javascript, Flash, Java ou conteúdo Silverlight. Esta vulnerabilidade consegue passar por este noScript.

Apenas a versão 7 está afetada por esta falha, pelo que os users são aconselhados a atualizarem o TOR para a versão 8, lançada na semana passada, a qual já foi confirmada pela própria empresa como não estando vulnerável.

O autor do NoScript, Giorgio Maone, afirma que este zero day foi por causas de um workaround para o NoScript que estava a bloquear o visualizador de JSON no browser.

Em termos de funcionamento, qualquer user que definisse a sua segurança para a mais alta, de forma a bloquear todo e qualquer código Javascript em todos os sites, esta falha iria permitir na mesma que esse site ou serviço oculto conseguisse ultrapassar essa segurança, tornando o objetivo dessa configuração inútil face ao exploit.