Anfang des Monats wies die Sicherheitsagentur Core Security Technologies darauf hin, dass Microsoft stillschweigend drei Sicherheitslücken mithilfe der im letzten Monat veröffentlichten Patches behoben hat, ohne die Systemadministratoren zu benachrichtigen. Die beiden Patches mit diesem Problem sind MS10-024 und MS10-028. Vor einigen Tagen gab Microsoft zu, bei der Behebung der Software nicht alle Sicherheitslücken offenzulegen. Mike Reavey vom Microsoft Security Response Center (MSRC) sagte: „Wir werden nicht alle Probleme veröffentlichen, die wir finden.“
Reavey erklärte, dass Microsoft eine Common Vulnerability Exposure (CVE) der Schwachstelle bereitstellen wird, einschließlich der Schwere der Schwachstelle, Angriffsvektoren und Problemumgehungen. Sollten die CVE-Parameter mehrerer Schwachstellen gleich sein, veröffentlicht Microsoft diese nicht separat.
Microsoft hat die anderen Schwachstellen, die es in Visio behoben hat, nicht gemeldet, weil: „Sie haben genau den gleichen Angriffsvektor und sind nicht weniger schwerwiegend.“ Aus Verbrauchersicht stehen dieselben Problemumgehungen zur Verfügung: Verwenden Sie keine nicht vertrauenswürdigen Quellen. Öffnen Sie das Visio-Dokument dort ."