Mike Reavey som är ansvarig för Microsoft Security Response Center (MSRC) talade nyligen under ett pressmöte vid företagets huvudkontor i Redmond, Washington. Han erkände då att vissa av de sårbarheter som man hittar och åtgärdar i sin egen mjukvara inte alltid rapporteras och dokumenteras. I och med detta kan man inte göra en rättvis buggjämförelse med övriga mjukvaruleverantörer.

Microsoft skapar i regel ett så kallat Common Vulnerabilities and Exposures-nummer för varje sårbarhet där man anger bland annat attackvektor, riskgrad och möjliga åtgärder. Om flera sårbarheter delar samma egenskaper kommer de enligt Mike Reavey inte att rapporteras separat.

Detta faktum upptäcktes tidigare denna månad av ett företaget med namnet Core Security Technologies. Efter att ha studerat säkerhetsuppdateringarna MS10-024 och MS10-028 hittade de tre fixar som hade släppts i det tysta. MS10-028 adresserade en brist som gör att användare av Microsoft Visio kan utsättas för buffer overflow-attacker.

Mike Reavey förklarar varför vissa av bristerna i Visio inte rapporterades.
- Attackvektorn och riskgraden var exakt densamma. Ur ett kundperspektiv var det samma säkerhetsåtgärd som gällde, det vill säga att inte öppna Visio-dokument från okända källor.