Aparentemente, mediante el envío de múltiples peticiones de un archivo pueden evitarse las restricciones de seguridad del navegador y el archivo se descarga de forma silenciosa y se ejecuta con los privilegios del usuario.
Hasta el momento, no se ha publicado ninguna actualización para cubrir esta vulnerabilidad y como única contramedida se presenta el deshabilitar la descarga de archivos desde Internet Explorer.
Más información:
Internet Explorer Automatic File Download and Execution Vulnerability
http://www.kb.cert.org/vuls/id/251788
Antonio Ropero
antonior@hispasec.com
Noticias Hispasec
