yohgaki's blog

Link: http://nvd.nist.gov/nvd.cfm?cvename=CVE-2007-3896

CVE-2007-3896は例のIEのバグでなくて呼び出し側のFirefoxの問題云々の件です。

The URL handling in Windows XP and Windows Server 2003, with Windows Internet Explorer 7 installed, allows remote attackers to execute arbitrary programs via invalid "%" sequences in a mailto: or other URI handler, as demonstrated using mIRC, Outlook, Firefox, Adobe, Skype, and other applications. NOTE: this issue might be related to other involving URL handlers in Windows systems, such as CVE-2007-3845.

結局、mIRC、Outlook(これ以外のMS製品もあったはず）、Firefox、Adobe(Readerの事だと思います）、Skypeなどあまりにも多いのでIEの脆弱性にしてしまおう、と言うことなのだと思います。

基本的には呼び出し側が問題なく動作するデータを送るようにするべき、つまりIEの脆弱性でなく他のアプリの問題である可能性が高いと思います。（確信するにはリサーチが必要）

Cとバッファオーバーフローの関係と似ていると思います。余計分かり辛い??
基本的にはデータのセキュリティ対策の責任はCalleeでなく、Callerにある。SQLにヘンな文字列が入っていてSQLインジェクションされないようにする対策はDBサーバ（Callee)でなく、プログラム（Caller）にあるのと同じ事だと思います。

ただし、DBサーバ側（Callee)でも簡単に不正なデータであることがチェックできるような入力（例えば、壊れた文字エンコーディング）であっても処理してしまうと問題の責任はCalleeにあります。

どっちなんでしょうね。