Tor a publié la version 10.0.18 du navigateur pour corriger de nombreux bug, y compris une vulnérabilité dite « Scheme Flooding » qui permet aux sites de suivre les utilisateurs en prenant l'empreinte des applications installées sur leurs appareils.

Pour suivre les utilisateurs, un profil de tracking est créé pour un utilisateur en tentant d'ouvrir divers applications gestionnaires d'URL, tels que zoommtg://, et en vérifiant si le navigateur lance une invite, comme celle de Zoom. Si l'invite de l'application s'affiche, on peut supposer que l'application est installée sur l'appareil.

En vérifiant la présence de nombreux gestionnaires d'URL, la vulnérabilité peut créer un identifiant basé sur la configuration unique des applications installées sur l'appareil de l'utilisateur, cet identifiant peut ensuite être suivi sur différents navigateurs.

Cette vulnérabilité est particulièrement préoccupante pour les utilisateurs de Tor qui utilisent le navigateur pour protéger leur identité et leur adresse IP sur internet. Comme cette vulnérabilité suit les utilisateurs à travers les navigateurs, elle pourrait permettre aux sites web, et même aux forces de l'ordre, de suivre l'adresse IP réelle d'un utilisateur lorsqu'il passe à un navigateur non anonyme.

Avec la sortie de Tor Browser 10.0.18, le projet Tor a introduit un correctif pour cette vulnérabilité en réglant le paramètre 'network.protocol-handler.external' à false.

Ce paramètre par défaut empêchera le navigateur de passer le traitement d'une URL particulière à une application externe et donc de ne plus déclencher les invites de l'application.

Pour mettre à jour Tor vers la version 10.0.18, il faut se rendre dans : Menu > Aide > À propos de Tor Browser, et l’installation de toutes les mises à jour se fera automatiquement.