¿La cookie solo http asegura la sesión del usuario?
Sí, esa es toda la idea detrás de httpOnly.
Pero como ya mencionó, puede haber otras vulnerabilidades que revelen la cookie. Esto puede ocurrir a través de las vulnerabilidades en el servidor (CVE-2012-0053 a las que aludió), a través de la configuración incorrecta del servidor (TRACE, aunque los navegadores modernos no lo admiten), o a través de problemas en la aplicación en sí (la cookie de sesión puede estar expuesta en Funcionalidad de depuración o en el backend del administrador; un ejemplo sería una llamada a phpinfo en PHP).
Se debe tener en cuenta que httpOnly solo mitiga un poco el XSS, y que existen otros escenarios de ataque con XSS que son (casi) tan malos como robar la sesión (como CSRF, por ejemplo, para agregar nuevos usuarios administradores, phishing, registro de teclas, lectura de información secreta, etc.).