… и видеорежим не у всех графический. Но статистике эти «не все» не сильно мешают ). В тобою же помянутом OE, небось, из multipart/alternative автоматически HTML выбирается. Office Outlook так и вообще не удивлюсь если лишние альтернативы херит, он письмо в объектном формате хранит, а не RFC-текстом.

Мешают-мешают. Чем навороченнее червь -- тем хуже он распространяется.

BTW, хоть один пример почтового червя, работающего через дырку в картинках был?.. Я чего-то ничего не могу припомнить. В AOL IM был червяк, но какой-то мёртворождённый совсем.

Да нету тут, имхо, никакой навороченности. Юзеры на OE + OLK как раз ЦА червя, с хорошей точностью. И показ картинок — детерминистический процесс. Главное, чтобы в Junk не ушло. Это по внешней линке картинки не кажут, а по cid'у я не слышал, чтобы блокировали когда-нибудь. Считалось, что безопасно.

В JPEGах, что ли? А я про ту дырку не знаю ничего. Но это повезло, что дырка дохлая оказалась, она же до сих пор не заткнута, ходи пользуйся. Патч невразумительный. GDI+ те не GDI, в одном месте не локализован. Кстати да, раз это дырка в GDI+ была, то, возможно, к мейлерам-то она отношения и не имеет. Отсюда и отсутствие червей. А power point презентациями особо не назаражаешь.

Хм, а интересно, как упоминавшийся где-то тут data execution protection дружит с thunks и другими случаями генерённого на лету кода, который хорошо бы выполнить? Пишется в отдельную страницу, разрешённую на write/execute?