Microsoft kommer jevnlig med rapporter om at antallet sårbarheter som blir funnet i selskapets programvare, jevnlig går ned. Spørsmålet er hvor mye slike rapporter er verdt når selskapet unnlater å opplyse om en del av sårbarhetene som fjernes.
Computerworld.com skriver at en sikkerhetsoppdatering til til Exchange og Windows SMTP Service som Microsoft kom med i april, inneholder flere sikkerhetsfikser enn det som går fram av informasjonen selskapet har gitt ut. Dette skal dog ikke være det eneste tilfellet.
Det er sikkerhetsforskere ved Core Security Technologies (CST) som har avslørt tilfellet. Det viser seg at de to hemmeligholdte sikkerhetsfiksene den aktuelle sikkerhetsoppdateringen, fjerner sårbarheter som anses for å være mer alvorlige enn sårbarhetene det informeres om. Dette kan føre til at systemadministratorer velger å nedprioritere installasjonen av oppdateringen på feil grunnlag.
Mer informasjon om de hemmeligholdte sårbarhetene finnes her.
Ifølge sikkerhetseksperter Computerworld.com har vært i kontakt med, er slik hemmeligholdt verken noe nytt eller noe uvanlig.
Tvers imot forteller de at sårbarheter som leverandørene selv finner gjennom intern granskning, svært ofte blir rullet ut sammen med andre, kjente sikkerhetsfikser, uten at kundene informeres om dette.
Et unntak skal være leverandører av produkter basert på åpen kildekode. Her er slikt hemmelighold i praksis nærmest umulig, siden alle endringer i kodekoden relativt enkelt kan avsløres ved å sammenligne kildekoden mellom utgivelsene.
Det har i mange år blitt diskutert hvorvidt det er fordelaktig for kundene at informasjon om sårbarheter blir offentliggjort i sin helhet, siden også ondsinnede får tilgang til informasjonen. Det er svært delte meninger om dette.
En annen sak er om det er til kundenes fordel at leverandørene hemmeligholder all informasjon om enkelte sikkerhetsfikser, også i rapporter som gis ut i ettertid og overfor aktører som forsøker å gi et helhetlig bilde av hvor mange sårbarheter som oppdages i ulike produkter.