никакой это не баян... абсолютно разные баги... тут суть в том что ie по http://xxx/1.exe?1.aaa будет предлагать сохранить файл в формате aaa, а jpg ie не предлагает сохранить а сразу открывает как рисунок... а тот старый баг с png по-моему даже в ie7 не работает и вобще никак не связан с этим

Теория по обработки графический формата в IE для пионеров, мать вашу:
IE сталкивается с нехарактерные для этого формата символами, в нашем случаи "<script>alert(‘XSS’)</script>" > производится анализ полученной сигнатуры с сигнатурами поддерживаемых форматов на данный момент > IE встречает нужный формат и начинает обработку файла в соответствие с найденным форматом > происходит обработка найденного фрагмента который не соответствует формату, в нашел случаи HTML > выполнения скрипта.

Данная особенность унаследованная с ранних версий клиентского приложения и применяется не только в XSS атаках. Так что представленный вами формат не верен с самого начала + реализация фильтров к данной особенность на сегодняшний день уменьшает вероятность к данной уязвимости.