Der alleinige Besuch einer präparierten Webseite soll ausreichen, dass Angreifer Schadcode auf Computern von Nutzern des Tor Browsers ausführen können.
Source: Heise Security