Microsoft heeft op het laatste moment een beveiligingsupdate voor een SSL-probleem in Windows wegens kwaliteitsredenen teruggetrokken. Daardoor komt het totaal aantal beveiligingsupdates dit jaar op 99 in plaats van 100. Via de aanval kunnen aanvallers HTTPS cookies stelen en ontsleutelen en zo de sessie van het slachtoffer overnemen. Microsoft kwam in september met een tijdelijke oplossing en zou deze maand het probleem definitief verhelpen. Vanwege compatibiliteitsproblemen met SAP moest de softwaregigant hier van afzien.

"Het bulletin wat gepland stond om Security Advisory 2588513 op te lossen, is vanwege een compatibiliteitsprobleem met de applicatie van een derde partij uitgesteld", zegt Jerry Bryant van het Microsoft Trustworthy Computing team. Deze derde partij, met wie Microsoft samenwerkt, gaat het probleem oplossen. "We blijven de situatie in de gaten houden en hebben nog geen actieve exploits in het wild gezien", merkt Bryant op.

Noodpatch
Microsoft heeft dit jaar geen enkele noodpatch uitgebracht. Daarnaast werden 32% van de security bulletins als "ernstig" omschreven, een record sinds de softwaregigant in 2004 met de maandelijkse patchcyclus begon. In 2006 en 2007 was 60% van de patches voor ernstige beveiligingslekken.

Bryant is ook te spreken over de samenwerking met beveiligingsonderzoekers. Rond de 85% van alle gerapporteerde beveiligingsproblemen werd via een "gecoördineerd proces" aan Microsoft onthuld.

Autorun
Een andere belangrijke maatregel dit jaar was het uitschakelen van de Autorun functie voor USB-sticks op Windows XP en Vista. Het aantal Autorun infecties op Windows XP nam hierdoor met 59% af en met 74% op Vista machines. Het totaal aantal computerinfecties op alle Windows computers bij elkaar, nam ten opzichte van 2010 met 68% af.