您可以在http://cve.mitre.org/查找漏洞。“CVE 是一本公开的信息安全漏洞和暴露的字典。”

粗略搜索：

• 火狐，返回 888
• 铬，返回 729
• 闪退，返回 371

需要进一步过滤这些严重性，但这给出了已发现漏洞的上限。

http://web.nvd.nist.gov/view/vuln/search允许基于时间段进行过滤，仅选中 CVE 复选框，3 年和 3 个月的搜索分别给出以下结果：

• Firefox，返回 391、64
• 铬，返回 653、80
• Flash，返回 227、16

是的，这是百分百可能的：

• 浏览器是巨大的程序，包含脚本引擎、标记解析器、渲染引擎甚至音频/视频编解码器。这些部分中的任何一个都可能存在漏洞，可能会被利用。
• 浏览器运行 JavaScript，这是一种图灵完备的语言，几乎不可能提前分析它在做什么。有近乎无限的方式来表达相同的代码。混淆通过eval使这变得更加困难。这也意味着它非常适合丢弃有效载荷。
• 某些浏览器还允许其他脚本类型，例如 VB 脚本。这可能会打开更多的安全漏洞。
• Flash 是一个半特权插件，它可以访问您系统上的某些文件。在 Google 上搜索“ flash 恶意软件”会返回约 5400 万条结果。CVE 数据库显示了大约 1200 个独特的 Flash 漏洞。
• 您可能会被说服下载代表针对第 3 方漏洞的利用的文档（例如 PDF）。这通常在电子邮件中使用，其中可执行文件和脚本通常被阻止。
• 浏览器通常具有object用于某些插件的标记（例如标签）。有时您甚至不必安装或启用插件即可成为安全漏洞——例如，看看 IE6 如何处理 ActiveX。
• 您可能会将一些个人信息放入网站，该网站后来被用于鱼叉式网络钓鱼攻击，从而导致感染。
• 您甚至不必拥有易受攻击的浏览器。访问网站可能会将您的 IP 地址添加到要扫描的目标列表中，这可能会导致您通过远程代码执行漏洞被感染。
• 攻击者可以使用 HTML5 将您的浏览器变成僵尸网络，而不会真正感染您的机器。顺便说一句，感谢Bob McArdle对那篇文章的精彩介绍！

正如 Phillip 在他的回答中所说，您可以阅读 CVE 数据库中的漏洞，您可以在NVD上进行搜索。您还可以搜索OSVDB、exploits-db和packetstorm等站点。