そうには違いないのですが、ExtensionならばFixを待たずとも外すだけで当面の危機は去るというメリットがありますね。セキュリティとは別になりますが、いろんなExtension試していたらFirefox自体が立ち上がらなくなったのでセーフモードで起動して一部のExtensionを削除したところしっかり元に戻りました。起動しなくなるのは困りものですが再インストールまでしなくても済むのはかなり助かります。

＃IEのActiveXコントロールは個別にそして明示的に削除する方法ありましたっけか？もちろんRegEditいじって不能にするとかはできるでしょうけど。

extensionがどんなものか、って全然知らないのでどなたかに教えていただきたいのですが。

ユーザがextensionをインストールできるwebサイトを追加している場合で、そのwebサイトが
改竄をうけて、改竄者が拡張の新しいバージョンを設置した場合、ユーザは自動更新で改竄されたバージョンをインストールしちゃうんでしょうか。

Firefoxがextension用のサンドボックスを用意できてないなら、その分だけextensionの健全性を信用しないとだめですよね。
私はTBEは使っていませんが、SwitchProxy Toolを一時期update.mozilla.orgではなく開発者のサイトからインストールして使ってたり、/.Jで知ってRadialContextを使ってたりしています。
インストールの許可をあたえたのはユーザ(自分)で、そのユーザの自己責任に違いはありませんが、他ユーザの「便利だよー」って誘惑に打ち勝ってセキュリティを守れるかというと、これは難しいところですよね。

> これって、ある意味、Firefoxのセキュリティーホールとも言えるんじゃないかなあ。

セキュリティホールのあるソフトウェアが作成・実行出来る OS に、セキュリティーホールがあるとは言えないでしょう。
ましてやそれが堂々巡りしてハードウェア、さらにはインターネット自体の欠陥であると主張できますか?

拡張のセキュリティホールが、Firefox のセキュリティホールにつながるわけではありません。
この場合 Firefox と拡張 (タブブラウザ拡張) のセキュリティホールの関係性は切り離すべきです。

Firefox に何らかの対策機構 (たとえば拡張ごとの IP フィルタや、ファイルの読み書き制御とか?) が設けられるのも、面白いかもしれません。だけど重くなるんじゃ・・・。