Het is al enige tijd bekend dat Microsoft stiekem beveiligingslekken patcht die het niet in de Security Bulletins vermeld. De softwaregigant geeft hier in een blogposting nu meer duidelijkheid over. Zo laat het weten dat het varianten van problemen die wel in de bulletins staan, niet vermeldt. De ernst van het bulletin geeft altijd het grootste beveiligingslek aan, of dit nu intern of extern gevonden is. Ook de adviezen die Microsoft geeft, bijvoorbeeld voor een workaround, zouden alle potentiële varianten afdekken.

"Een groot deel van de beveiligingsgemeenschap weet dat Microsoft beveiligingsupdates soms aanvullende code-fixes bevatten om problemen op te lossen die verder gaan dat het gerapporteerde beveiligingslek", zegt Microsoft engineer Gavin Thomas. De eerste keer dat een stiekeme patch openbaar werd was in juni 2006.

CVE-nummer
Publieke beveiligingslekken krijgen bijna altijd een CVE-nummer toegekend, wat vaak ook wordt gebruikt om het aantal lekken te meten. Volgens Microsoft is het niet praktisch om aan intern gevonden lekken een CVE-nummer toe te kennen.

"In sommige gevallen is de beveiligingsupdate gewoon een back-port van code van een nieuwere versie van het product dat door de SDL-processen is heengegaan of misschien een beveiligingsupdate die naar een veilige versie is omgezet. Het is lastig om in dit soort gevallen te weten hoeveel lekken door deze grote code-aanpassingen zijn opgelost", aldus Thomas.