либо с неизвестными пока уязвимостями
Что значит "неизвестными"? Какой вообще смысл имеет это слово, если мы говорим о реверс-инженерах, а первыми об уязвимостях зачастую узнают они?
плюс плагины типа java или flash можно просто не использовать
Но на JavaScript с обилием API тоже нельзя полагаться, в его реализациях в разных браузерах могут быть уязвимости и "баги", вероятность стремится к 0 но не 0, я открывал
crashchrome.com полгода назад, сейчас открыл в одной из новейших версий и он все еще работает.
Если это вирус а не троян, то кроссбраузерность ему не нужна.
Но я сейчас работаю именно над трояном, возможность заражения файлов не планируется так как на Android с этим само собой сложно, однако по словам заказчика данный троян устанавливается именно через remote code execution и этого будет достаточно для его популярности, то есть на Android эту уязвимость закрыли достаточно поздно.