Недавно перешел обратно на "старый" FF 3.6.28, без html5 и других тормозных антиприватных плюшек, доволен как слон. Смущает меня то, что (наверное) в нём накопилось множество критических уязвимостей. Хотя, с другой стороны есть и более старый K-Meleon на Gecko, тоже очень скоростной.
Есть ли мнения/исследования безопасности старых версий FF, с NoScript и Adblock Plus?

clms
Конечно исследований нет, их никто не использует и они никому не нужны. К слову, даже на моём старом компьютере 2004 года новый [firefox] работал быстрее 3.6.

Опасности тут две:
1. Если баг общий, то есть и в 3.6 и в текущих версиях [firefox]. Тогда эксплоит сработает и на старой версии и при этом вашу систему не всякий антивирус спасёт.
Сюда можно отнести баги, которые работали например на 21, но уже не работают на 23 (то есть общие для 3.6 и 21). Эксплоит может где-то висеть для 21, а зацепит 3.6.

Недавно как раз был случай, когда не обновившегося во время человека ФБР словила как раз с помощью эксплоита зацепив старую версию TorBrowser. Это [firefox] + патчи безопасности и отключенные опасные функции от проекта Tor. Интересно, тот эксплоит работает и на 3.6?

2. Маловероятная. Эксплоиты специально разработанные для 3.6. Это не только для людей, которые не обновляются. Такие эксплоиты могут быть ориентированы на LiveCD со старыми дистрибутивами Linux в состав которых входит 3.6.

3. Несовместимость дополнений. Можете, например, заглянуть на форум NoScript и полюбоваться на незакрытые баги. Часто версии для старого 3.6 просто замораживают и не обновляют. Так что баги в дополнениях с вами навечно.
Это не значит, что кто-то будет делать для этого эксплоит. Просто однажды NoScript просто не сработает. Впрочем это актуально и для новых версий, но релизов для них было больше и значит багов меньше.