Awal bulan ini, badan keamanan Core Security Technologies menunjukkan bahwa Microsoft diam-diam memperbaiki tiga kerentanan keamanan menggunakan patch yang dirilis bulan lalu tanpa memberikan pemberitahuan apa pun kepada administrator sistem. Beberapa hari lalu, Microsoft mengaku tidak akan mengungkapkan semua kerentanan keamanan saat memperbaiki perangkat lunaknya. Mike Reavey dari Microsoft Security Response Center (MSRC) mengatakan: "Kami tidak akan mempublikasikan semua masalah yang kami temukan."
Reavey menjelaskan bahwa Microsoft akan memberikan Common Vulnerability Exposure (CVE) dari kerentanan tersebut, termasuk tingkat keparahan kerentanan, vektor serangan, dan solusinya. Jika parameter CVE dari beberapa kerentanan sama, Microsoft tidak akan mempublikasikannya secara terpisah.
Microsoft tidak melaporkan kerentanan lain yang diperbaiki di Visio karena: "Mereka memiliki vektor serangan yang persis sama dan tidak kalah parahnya. Dari sudut pandang konsumen, solusi yang sama juga tersedia: Jangan gunakan sumber yang tidak tepercaya. Buka dokumen Visio di sana ."