Een fout in Tor Browser zorgt ervoor dat JavaScript op het hoogste beveiligingsniveau kan worden uitgevoerd, terwijl dit eigenlijk niet zou moeten kunnen. Het Tor Project, dat de browser onderhoudt, werkt aan een oplossing. In afwachting van een fix kunnen gebruikers JavaScript zelf uitschakelen.
Tor Browser biedt gebruikers verschillende beveiligingsniveaus, namelijk standard, safer en safest. Op het veiligste niveau staat JavaScript standaard op alle websites uitgeschakeld. Veel browseraanvallen maken gebruik van JavaScript en door het uitschakelen hiervan wordt het aanvalsoppervlak voor gebruikers verkleind. In het verleden zijn JavaScript-exploits tegen gebruikers van Tor Browser ingezet. Onder andere de FBI gebruikte JavaScript om gebruikers van de browser te ontmaskeren.
Bij de lancering van de nieuwste Tor Browser, versie 9.0.6, meldt het Tor Project dat er een bug in de browser zit die het uitvoeren van JavaScript op het hoogste beveiligingsniveau mogelijk maakt. Er wordt aan een oplossing gewerkt. Gebruikers die niet willen dat JavaScript kan worden uitgevoerd kunnen dit volledig in de browser uitschakelen via onderstaande instructies.
