mailto:test%../../../../windows/system32/calc.exe".cmd
で、コマンド実行される希ガス。
※IE7インストール済みの環境で、Firefox2.0.0.5を使用の場合。
そもそもShellExecuteの実装の問題でWindows以外には関係ない話の様な。

対策はuser.jsに、
//外部アプリを起動する前に警告
user_pref("network.protocol-handler.warn-external-default", true);
user_pref("network.protocol-handler.warn-external.itms", true);
user_pref("network.protocol-handler.warn-external.mailto", true);
user_pref("network.protocol-handler.warn-external.news", true);
user_pref("network.protocol-handler.warn-external.nntp", true);
user_pref("network.protocol-handler.warn-external.snews", true);
あたりえを追加しておくと、外部アプリに投げられる前に警告を出して止める事が出来ます。
とりあえずは、Firefoxの更新が来るまでこれで凌げます。

と言っても、自分が安心したサイト以外観ないというのが一番手っ取り早いのですけどね。
と言うと、安心したサイトがハックされた時の危険性が〜〜ってな事にもなりますが。
まぁそこら辺はバランス感覚でどうぞ。