Comme prévu, le délai est relativement court : Microsoft a déjà livré plusieurs séries de patchs, alternant les gros et les petits correctifs, avec un calendrier fixé sur les mois pairs pour les mises à jour les plus importantes. En juin, par exemple, l'entreprise a émis 10 bulletins de sécurité corrigeant un nombre record de  34 vulnérabilités. Le mois de mai s'est limité pour sa part à deux bulletins et à deux failles seulement. « Ce mois-ci n'est pas encombré, et aurait été encore plus léger si Tavis ne nous avait pas forcé à aller plus vite que le rythme choisi pour les patchs de vulnérabilité,» a déclaré Wolfgang Kandek, directeur technique de Qualys.

Ce dernier fait allusion à Tavis Ormandy, ingénieur en sécurité chez Google qui a publié, début juin, le code d'attaque utilisé par un bug affectant l'aide de Windows XP et du Centre de Support, une fonctionnalité qui permet aux utilisateurs d'accéder et de télécharger des fichiers d'aide de Microsoft via le Web. Elle est également utile aux supports techniques pour effectuer la maintenance à distance d'un PC en local. Comme l'a annoncé Microsoft, ce bug affecte également Windows Server 2003. Après avoir rendu cette vulnérabilité publique, insinuant au passage que Microsoft ne s'engagerait pas à émettre un correctif dans un délai raisonnable, Tavis Ormandy s'est retrouvé au coeur d'une sérieuse controverse. Si certains chercheurs en sécurité l'ont critiqué d'avoir divulgué cette faille publiquement, d'autres ont pris sa défense, bombardant Microsoft et la presse, Computerworld compris, pour les accuser de lier Tavis Ormandy à son employeur, Google.

La semaine dernière, un groupe de chercheurs anonymes du nom de Collectif de Chercheurs rejetés par Microsoft (CSEM) - le groupe a repris ironiquement l'acronyme de l'équipe de chercheurs chargée de pister les bugs chez Microsoft - a riposté en publiant des informations sur une vulnérabilité non corrigée dans Windows Vista et Windows Server 2008. Le groupe déclare vouloir marquer sa désapprobation quant à « l'hostilité de Microsoft envers les chercheurs en sécurité, » et cite l'affaire Ormandy comme exemple le plus récent. « Cela montre que Microsoft peut agir très rapidement quand il le faut, » a déclaré Wolfgang Kandek, qui s'exprimait sur la vitesse de réaction de Microsoft à livrer ses patchs.