Nochmal ganz langsamen und zum mitschreiben:

Das solltest du tun.

Der Firefox wird missbraucht um:

Nein wird er nicht, deine Serversoftware wurde dazu mißbraucht auf deiner Seite Schadcode zu platzieren.

1. Schad-Code runterzuladen (ohne das der User davon was merkt)

Das ist eine Einstellung die du in deinem Browser so vorgenommen hast, bei mir ist es nicht so.

2. diesen Schad-Code (also .exe, .com, etc.) auszuführen (ohne das der User davon was merkt)

Das kann definitiv nicht sein oder auf deinem System stimmt was nicht.

Das nenne ich eine Sicherheitslücke! Das passiert im Browser. Das ist clientseitig. Wenn Du auf meiner oder einer anderen Seite surfst bekommst Du also den Exploit ungefragt installiert. Bitteschön, gerne geschehen. Dass der Schad-JS-Code auf meiner oder einer anderen Seite injiziert wurde hat damit nix zu tun

Natürlich hat es was damit zu tun und natürlich ist es eine Sicherheitslücke, aber nicht im Browser.

Wenn jemand meine eigentliche Frage (ich denke sie war ziemlich eindeutig) beantworten könnte, wäre ich glücklich.

Dann müßtest du sehr glücklich sein, da deine Frage schon so oft beantwortet wurde.

Struppi.