Kurz gesagt, wenn man ganz sicher gehen will, stellt man JS, Java und Acitve-X ab, und öffnet keine fremden Dateien.

...oder noch bessen: gehen Sie nicht ins Internet!
das man ActiveX nur nach Abfrage annimmt, ebenso größte Vorsicht bei ausführbarem (*.doc,*.exe, *.pl, *.js, *.xsl, *.com und neuerdings: *.ppt) von unbekannt ist sinnvoll, der Rest ist Panikmache. Bei JavaScript sollte man sich überlegen, ob man das kleine (?) Risiko eingehen will, oder ob man auf nummer todsicher gehen will. BITTE KEINE DISKUSSION ÜBER JAVASCRIPT!