In den Mac- und Linux-Versionen des Tor-Browsers befindet sich eine Sicherheitslücke, die die tatsächliche IP-Adresse des Nutzers entlarven kann. Wenn ein User auf einen Link klickt, der mit file:// beginnt, starten die Betriebssysteme Mac und Linux offenbar den Versuch, den Link am Tor-Browser vorbei zu öffnen. Durch diesen Fehler kann es passieren, dass die Anonymisierung ausgehebelt wird.
Problem liegt bei Firefox
Laut dem Security-Unternehmen We Are Segment, das die Schwachstelle entdeckt hat,liegt das Problem offenbar beim Firefox-Browser, auf dessen Basis der Tor-Browser basiert. In Kombination mit den betroffenen Betriebssystemen kann dann der beschriebene Fehler auftreten. Offenbar tritt unter Windows das Problem nicht auf.
Neue Version ab 6. November
Entdeckt wurde die Lücke bereits am 26. Oktober. Seit 3. November steht ein temporärer Hotfix von Tor zum Download bereit. Dabei funktionieren betroffene Links, die mit file:// beginnen, nicht mehr. Ab Montag 6. November soll dann eine neue Version des Tor-Browsers zur Verfügung gestellt werden, bei der das Problem behoben wurde. Hinweise, dass die Schwachstelle ausgenutzt wurde, gebe es nicht.