Respuesta corta: JavaScript no es una amenaza per se, pero puede convertirse en una. Así que desactívelo en situaciones críticas por si acaso.
JavaScript está habilitado globalmente en Tor Browser Bundle de forma predeterminada . JavaScript, per se, no revelará su dirección IP, es solo que muchas veces hay problemas de seguridad con los componentes de JavaScript en su navegador que permiten que personas malvadas ejecuten códigos maliciosos en su computadora. Ese código malicioso puede revelar su Dirección IP, dirección MAC y mucha más información .
Usted usa Tor para proteger su privacidad, por lo que le gustaría minimizar el riesgo tanto como sea posible. Por eso deshabilitas JavaScript, Flash, Java y otros componentes. No los desactiva porque lo comprometen todo el tiempo, los desactiva por si acaso, lo cual es una buena práctica en situaciones en las que desea tener cuidado con su privacidad e identidad.
En cuanto a su otra pregunta, Tor crea un proxy SOCKS local y otras aplicaciones necesitan conectarse a ese proxy. Hasta ahora, Tor no tiene una manera fácil de enrutar todo el tráfico del sistema a través de él, pero hay Algunas formas de hacerlo . Recomiendo usar Tails , puede instalarlo fácilmente en su memoria USB y cargará un sistema operativo completo configurado para su privacidad, con Todo enrutado a través de Tor.