Jenomže tomu se nedá vyhnout. Takže to nemá řešení :).
Zdar Max

Takze dalsi bug/feature, co potvrdzuje, ze zakladom bezpecnosti je nespustat ziadny neznamy kod. Ani vo virtualizacii ani v javascripte, vobec.

Jenže tohohle nedosáhneš vypnutím JavaScriptu. Na spuštění neznámého kódu v zásadě stačí, že máš program, který přijímá data z internetu a nějakým netriviálním způsobem je zpracovává. Když se podíváš do seznamu code exectuion CVE chyb opravených v Chrome, tak samozřejmě objevíš spoustu, které týkají JavaScriptu, WASM atd., ale taky některé, které JS nepotřebují - např. chyby v renderovacím enginu nebo chyby v zobrazovači PDF, kde na exploit stačí 'zlé' HTML nebo PDF.

Vypnutím JS můžeš značnou část problémů eliminovat, ale rozhodně neplatí, že vypnutý JS znamená záruku, že nespouštíš cizí kód z webu. Ditto tvrzení, že použití NX bitu, ASLR a dalších bezpečnostních fíčur zamezuje spuštění kódu. To jsou naprosté mýty. (A z nějakého důvodu se tu pod bezpečnostními zprávičkami často opakují.)