Как сообщает bugtraq.ru, в браузере Mozilla/Firefox обнаружена уязвимость. Использование URL, начинающихся с "shell:", позволяет выполнить на клиентской машине произвольный код. К чести разработчиков стоит отметить, что патч уже доступен. Подобная схема работает только под XP. IE, в принципе, тоже запускает указанные таким образом приложения, но, по крайней мере, показывает перед этим диалог Open/Save.
Патч