Тут дело в изменениях в плане безопасности, появившихся во втором сервис паке + некоторые другие факторы, такие как наличие фаервола с фильтрацией интерактивных элементов, наличе, изменения каких-либо настроек (в частности отключение ActiveX ) и т.п. ...

Кстати, вот например эксплоит с переполнением буфера через <iframe> работает только на xp или xp sp1. Под 2k или sp2 он просто вешает осла, при этом никакие команды не выполняются.
Так что от ОС очень даже зависит ...