今月初め、セキュリティ機関の Core Security Technologies は、Microsoft が先月リリースされたパッチを使用して、システム管理者に何の通知も行わずに 3 つのセキュリティ脆弱性を修正したと指摘しました。この問題のある 2 つのパッチは MS10-024 と MS10-028 です。数日前、Microsoftはソフトウェアを修正する際にすべてのセキュリティ脆弱性を開示しないことを認めた。 Microsoft Security Response Center (MSRC) の Mike Reavey 氏は、「発見したすべての問題を公開するわけではありません」と述べています。
Reavey 氏は、Microsoft が脆弱性の重大度、攻撃ベクトル、回避策を含む脆弱性の Common Vulnerability Exposure (CVE) を提供すると説明しました。複数の脆弱性の CVE パラメーターが同じ場合、Microsoft はそれらを個別に公開しません。
Microsoft は、Visio で修正した他の脆弱性を報告しませんでした。その理由は次のとおりです。「これらの脆弱性はまったく同じ攻撃ベクトルを持ち、同様に深刻です。消費者の観点から見ると、同じ回避策が利用可能です。信頼できないソースを使用しないでください。そこにある Visio ドキュメントを開きます」 。」