A me sembra che sulla cosa si stia facendo un gran parlare per nulla (vedi Attivissimo).

Qual è il problema? Se si crea via JavaScript un elemento nella cronologia particolarmente lungo, al riavvio Firefox potrebbe non avviarsi o risultare particolarmente lento. Soluzione: cancellare il file della cronologia (history.dat).

var buffer = "";
for (var i = 0; i < 5000; i++) { buffer += "A"; } var buffer2 = buffer; for (i = 0; i < 500; i++) { buffer2 += buffer; } document.title = buffer2;

Consideriamo questo articolo raggiungibile via ZioBudda; esemplare la conclusione (in grassetto per aumentare la suspence del lettore)

Faccenda ben piu' grave, l'autore dell'exploit (rintracciabile su Packet Storm), non esclude che sia possibile eseguire codice arbitrario sul computer della vittima.

Ci sono problemi a riprodurre il problema, figuriamoci a dimostrare che questo permetta di lanciare codice maligno sul pc dell'utente: "Non escludere" è molto diverso da "Dimostrare"!
Ad esempio: personalmente non mi sento di escludere che nelle prossime ore l'orbita della quarta luna di Giove in congiunzione astrale con la velocità rotazionale dei piattelli del mio hard-disk porti alla cancellazione del mio mp3 preferito.

Ancora più assurda la situazione riguardo a NoScript: tutti consigliavano l'installazione di questa estensione per risolvere il problema, peccato che non fosse vero! Per fortuna il buon Giorgio Maone ha rilasciato in fretta e furia una nuova versione con una pezza, un'opzione per troncare a 255 caratteri gli elementi della cronologia: ecco spiegato perché l'estensione presenta una stringa non localizzata (fonte eXtenZilla).