¿Cuáles son las ramificaciones de esto?

Idealmente no mucho. Firefox implementó restricciones para mitigar esta vulnerabilidad en 2018.
https://blog.mozilla.org/security/2018/01/03/mitigations-landing-new-class-timing-attack/

Si estás en un derivado de Chromium deberías estar seguro mientras no actives javascript y webassembly para todo.

Otra razón para usar Firefox.

O sea que ofuscar es malicioso... baia baia

recordatorio de que palemoon tiene el wasm activado por defecto desde agosto del 2020

>>7
Cómo se quita?

Supongo que about:config y javascript.options.wasm → false

Ponlo en tu config.js para que no se te vaya a cambiar con algún update.

¿El exploit también funciona si uno tiene prohibidos los XMLHttpRequests?

El mismo G00gle que quiere que que los navegadores ahora tengan APIs para USB, bluetooth, etc. Ojalá alguien les haga un ataque terrorista y/o cyberterrorista pronto.