結論

初期設定の Internet Explorer 8(IE8)で実証コードを実行しただけでは、いきなりバイナリが実行されませんでした。ただし Internet Explorer の設定やバイナリ次第で、いきなりバイナリが実行される可能性はあります。

実証環境を準備する

Lostmon Lords氏が公開している実証コードの一つ（ここの PoC one）を使用します。この実証コードは calc.exe のパスが間違っていたため、そのパスを修正した以下のコードを Web サーバの公開ディレクトリに保存しました。この実証コードを Windows XP SP3 の IE8*1 で実行します。

<html>
<iframe id="myIframe"
src="handler:handler#:../../../C:\windows/system32/calc.exe">
</html>

なお、CVE-2010-0027 の脆弱性について、IE に影響のある箇所は MS10-007 ではなく、MS10-002 ですでに修正されていたようです。MS10-007 では API を修正することで根本的な解決をおこない、MS10-002 では IE の該当コードを修正することで暫定的な対策をおこなったということでしょう。実証コードを実行する場合、MS10-002, MS10-007 を適用していない環境を使用してください。

実証コードを実行する

実証コードを閲覧すると、IE8 が calc.exe のダウンロードを阻害しました（以下の画像を参照）。ここでダウンロードを許可します。

ダウンロードを許可すると、calc.exe を実行するか、保存するかを選択するダイアログウインドウが表示されます（以下の画像を参照）。ここで [実行] を選択します。

[実行] を選択すると、calc.exe の発行元を確認できないとのダイアログが表示されます（以下の画像を参照）。ここで [実行する] を選択します。

[実行する] を選択すると、ようやく calc.exe が実行されました（以下の画像を参照）。