Parce que quand je lis des choses comme ça, je suis pensif :

Cependant, en pratique, pour autant que je sache, nous 
n'avons jamais vu d'exploitation de ces bugs, et pour de 
bonnes raisons : d'abord, une majorité de ces bugs n'est 
probablement pas réellement exploitable, à plus forte 
raison avec l'ASLR et la DEP. Mais surtout, ces bugs ont 
toujours été faciles à corriger, donc ils ont simplement 
été corrigés avant d'avoir pu être largement exploités.

En dehors du fait que des failles qualifiées de non exploitables par un éditeur se révèlent parfois exploitables dans les faits, je trouve qu'en appeler à ALSR et DEP[1] est un peu léger. Surtout quand on se permet de lancer plus haut :

La sécurité des navigateurs est un sujet trop vaste pour 
qu'une ou deux techniques en particulier puissent faire 
une grande différence au total.

Et ce quand, en particulier, la disponibilité d'ASLR et DEP n'ont pas empêché certains plugins de se faire continuellement exploiter "in the wild"...


Bref, tout ça pour dire que si chez Mozilla vous jugez plus pertinent d'attaquer le sujet de la sécurité de Firefox autrement qu'avec une sandbox, soit. Que si vos développeurs ressentent le besoin de défendre la pertinence de vos choix devant des analyses biaisées, soit encore. Mais de grâce, épargnez-nous la mauvaise foi que vous reprochez aux autres...

Notes

[1] Mécanismes dont je ne nie cependant pas l'importance.