Suponiendo que mi versión de apache es más alta que 2.2.x (noté que en la versión anterior se puede encontrar la cookie de solo http de todos modos), ¿la cookie de solo http asegura la sesión del usuario?
¿Hay alguna manera de que el usuario evite la cookie http en el caso de XSS para tomar el control de la información del cliente?
¿La cookie solo http asegura la sesión del usuario?
Sí, esa es toda la idea detrás de httpOnly.
Pero como ya mencionó, puede haber otras vulnerabilidades que revelen la cookie. Esto puede ocurrir a través de las vulnerabilidades en el servidor (CVE-2012-0053 a las que aludió), a través de la configuración incorrecta del servidor (TRACE, aunque los navegadores modernos no lo admiten), o a través de problemas en la aplicación en sí (la cookie de sesión puede estar expuesta en Funcionalidad de depuración o en el backend del administrador; un ejemplo sería una llamada a phpinfo en PHP).
Se debe tener en cuenta que httpOnly solo mitiga un poco el XSS, y que existen otros escenarios de ataque con XSS que son (casi) tan malos como robar la sesión (como CSRF, por ejemplo, para agregar nuevos usuarios administradores, phishing, registro de teclas, lectura de información secreta, etc.).