セキュリティ

Firefoxはサンドボックスによるセキュリティモデルを使用しており、また、他のウェブサイトから読み込まれたデータやスクリプトについて同一生成元ポリシー[10]に基づく制限を設けている。
ウェブサーバとの通信を強度の暗号化によって守るために、httpsプロトコル使用時にはSSL/TLSが使われる[11]。これはウェブアプリケーションが認証目的のスマートカードを使用する場合にもサポートされる[12]。
Mozilla FoundationはFirefoxの中から深刻なセキュリティホールを発見した報告者に対して報奨金制度を設けている[13]。また脆弱性実証コードの作成が潜在的な攻撃者に短期的な有利性を与えないようにするために、セキュリティバグの取り扱いに関する公式ガイドラインでは早期の情報開示を思いとどまるよう求めている[14]。
Firefoxは公に知られている未修正の深刻な脆弱性数がInternet Explorerより少ないことが理由で(en:Comparison of web browsersを参照)、Internet ExplorerからFirefoxに乗り換える動機としてセキュリティ向上がよく引き合いに出される[15][16][17][18] 。
ワシントン・ポストは、未修正の深刻な脆弱性に関する実証コードがInternet Explorerで利用可能だった期間は2006年は計284日だったとレポートしている。これに対して、未修正の深刻な脆弱性に関する実証コードがFirefoxで利用可能だったのはMozillaがこの問題を修正するまでの9日間であった[19][20]。
FirefoxはOSと統合されておらず、しばしばセキュリティホールの原因となるVBScriptやActiveXを標準でサポートしていない。そのため、それらを悪用するコンピュータウイルスやスパイウェアが侵入できないことから、FirefoxはWindows版のInternet Explorerよりも安全だと言われている[21],[22]。実際に、OSとの統合やActiveXの危険性についてはInternet Explorerの開発者も認識している[23]。 一方で単にシェアが低いために、ウイルスなどの製作者に標的にされることが少ないからだという主張もある[24]。Firefoxのシェアの上昇に伴い、脆弱性の報告数は増えており、注意が必要である。
脆弱性が発見され、それによって著しい社会的影響を与えたケースもある[25]が、発見から僅かの間に修正されている[26]。
また、最新版のウェブブラウザを利用していても、OSやコンポーネント側のセキュリティホールを放置していると、OS等のセキュリティホールを突かれる可能性がある。例えば、Windowsではアニメーションカーソルの脆弱性[27]により、クラッカーの手によってリモートで制御される危険性があるとの発表がなされている。とくに、ブラウザ等を管理者権限で実行していれば、クラッカーに管理者権限を奪取される危険性がある。この脆弱性はWindowsのアニメーションカーソルおよびアイコンのデータ検証方法に起因している為、Firefoxを利用していても攻撃を防ぐことはできなかった[28]。Mozilla FoundationのSchroepfer氏は、2.0.0.3の次のリリースでの脆弱性の回避策を検討しているとしつつも、全てのWindows利用者に対してOSのセキュリティアップデート[29]を直ちに行うことを推奨するとの声明を発表した[30]。
このように、ウェブブラウザの種類に関わらず、OSに最新のセキュリティアップデート（例：Windows Update等）を常に適用しておくことは重要である。なお、最新のブラウザ・OS等には、実行権限を低く設定しなおすもの（例：Windows VistaにおけるIE7の保護モード）や、ブラウザ類の権限を抑制するもの（例：LinuxにおけるSELinux）等があり、安全性は増してきているが、いかなるウェブブラウザを利用している場合も過信は禁物である。
またプラグインのセキュリティはMozillaの管轄では無い。プラグインにセキュリティホールが発見されても、プラグインの種類によっては自動アップデートで更新されないものもある為、利用しているプラグインのインシデント情報には注意を払ったほうが良い。なお、Adobe Flash、Adobe Acrobat、QuickTime、Java Runtimeなど、著名なプラグインの最新バージョンでは自動通知や自動アップデート機能が存在するため、それらの機能が搭載されているバージョンに更新することが望ましい。
また Windows版Firefoxにビルトインで組み込まれているWindows Media Playerのプラグインは自動更新の対象になるものの、コンテンツを取り扱うのはWindows OS本体(DirectXが主体となる)なので前述の通りOSのアップデートを必要とする。