Juste sur ce point.... Pour Firefox,  tout le monde connait la faille XPCOM   https://developer.mozilla.org/fr/docs/XPCOM, et on accroit les faiblesses de Firefox via les modules complémentaires (la manière dont il les gère)

Perso j'ai une habitude c'est de surfer via SandBoxie, donc faille ou pas (et meme infection) je n'en tiens pas compte. Du reste ce n'est pas via les infections communes que l'on trouvera des véroles qui attaqueront le navigateur comme tu le soulignes

Quant à Chrome, je vois effectivement plus de gens dans les fora de désinfection utilisant ce navigateur mais bon...   Néanmoins je préfère un firefox avec quelques failles non exploitées qu'un chrome qui absorbe tout mes faits et gestes pour les revendre ensuite  (ce navigateur est d'ailleurs surnommé "Big Browser" )

Sinon il y a des alternatives comme  http://dooble.sourceforge.net/,  ou https://www.srware.net/fr/software_srware_iron.php

De toutes les façons Firefox va être revu en profondeur dès qu'il passera de Gecko à Chromium, donc wait and see

Quant à XP, j'ai un EE PC qui n'a AUCUNE protection antivirus (ce que je ne conseille pas mais c'est pour test), juste "no script" et un fichier hosts rempli,  et qui va sur le net depuis 2 ans et... toujours pas d'infection (j'y jette un oeil en profondeur tous les 6 mois et pas juste en passant quelques outils à la MalwareBytes)