Todas las vulnerabilidades del navegador no necesariamente usan Javascript para alcanzar sus necesidades.
Un complemento del navegador puede usarse para escapar de un entorno limitado del navegador, por ejemplo.
Esto significa que una persona maliciosa podría crear un sitio web, sabiendo que su víctima utiliza el complemento X vulnerable (que analiza el texto de cada página visitada), y mostrar un texto en su sitio web que, una vez analizado por el complemento vulnerable, podría escapar. la zona de pruebas del navegador y ejecute el código de forma remota (en este caso, un exploit en el complemento se aprovecharía para explotar una falla en el navegador)
Tan pronto como un navegador lee una entrada externa, existe un riesgo. En teoría, un JPEG creado con fines malintencionados podría tener fragmentos desagradables que harían que el analizador pierda la cabeza, en este caso, buena suerte al encontrar un exploit de este tipo, pero se entiende el punto :)
Tenga en cuenta que deshabilitar Javascript evita que se ejecuten las vulnerabilidades de la mayoría . Por ejemplo, muchos kits de herramientas de malware usan Javascript para detectar qué versión de Flash y Java están instaladas para servir al exploit más apropiado para el usuario: deshabilitar Javascript evitaría que dicho kit de herramientas incluso comience a tomar las huellas dactilares en el navegador