iframe を使った脆弱性。細工をした HTML を読ませてバッファオーバーフローを起こさせて、任意のコードがリモートから実行可能となる恐れがあるんだそうだ。
XP SP2 以外は全滅らしい。んでもって、すでに exploit が公開されている。

• セキュリティホール memo
• Slashdot JP

Outlook とかの IE コンポーネントを使っているものは HTML メールでも同じことなんで、メールもヤバいですよ〜。