Да вложения со скриптами всегда прокатывают, тк почтовые фильтры не проверяют html на опасные теги (естественно кроме известных сигнатур скриптовых эксплойтов), это уже проблема юзера откроет вложение или нет.
Надо понимать что в данном случае ошибка гуглмаил в том, что он открывает вложения в том же домене что и веб интерфейс почты, следовательно мы можем получить куки, а соответственно и сессию целевого пользователя.
В отличии скажем от яндекса который открывает вложения в др. домене и никакие куки вам получить таким способом не удастся...