Und IIRC war das doch auch bei alten IE-Versionen so, daß bei einem <img src="http://example.org/script.js"> das ausgelieferte Javascript an den JS-Interpreter übergeben wurde ...

Thunderbird und Firefox ließen sich mit einem manipulierten PNG ins jenseits schicken:
http://www.mozilla.org/security/announce/2010/mfsa2010-41.html

Ich verweise daher nochmal hierauf:
https://forum.selfhtml.org/?t=209247&m=1423986