> В той, в которой возможность запуска неподписанных бинарников выключена по умолчанию.

Понятно, квалификация микософтовского ботика - ниже плинтуса.

Хинт: а эксплойту, между прочим, не надо никакие бинарники запускать - он в контексте подломленной программы работает, ему это пофиг. Ну там запатчив код программы в памяти или собрав из фрагментов кода программы конструкцию, которая сделает желаемое атакующим действие, если пропатчить совсем не получается. Пресловутый msblast в большинстве инкарнаций на диск ничего вообще не сохранял и был только в 2 формах - сетевой пакет и версия в оперативке, живущая после хака lsass как довесок к lsass.

Хинт2: толку с подписей программ, когда микрософтушка сам же и лепит подпись на БОЕВОЕ МАЛВАРЕ типа stuxnet и duqu - понятно сколько.

> Да, ещё вирусы иногда прячутся в документах и скриптах.
> С вредными скриптами борется браузер,

Это ишак то, для обновления которого надо всю ОС ребутать? И где патчи по расписанию, даж если боевый сплойты уже полетели в юзерей? Хакерье в лучшем случае кладет на мсовское расписание :). В хучшем - релизит крЮтой 0day сразу после патча и получают месяц форы на поимение всего живого пока MS "тестирует патч".

> документы открываются read-only.

Не очень понятно как только чтение мешает запуску чего либо. Кроме того, документы еще иногда и редактировать надо. Вот незадача то.

> странное утверждение. Особенно на фоне пасущихся местных неадекватов вроде стаканчиков
> и изена.

Я пока не заметил фундаментальных отличий.