Microsoft hat den seit Oktober 2008 verwendeten Exploitability Index verbessert. Der Index ist ein Zahlenwert und wird jedem der monatlich veröffentlichten Sicherheitsbulletins zugeordnet. Die Ziffer sagt aus, wie wahrscheinlich eine durch das Update geschlossene Sicherheitslücke binnen 30 Tagen durch einen Angriff missbraucht wird. Kunden konnten so das Testen und Verteilen von Updates besser priorisieren.

Mit den kommenden Dienstag veröffentlichten Mai-Sicherheitsbulletins werden zwei Werte pro Bulletin veröffentlicht: Eine Ziffer, die den Index für die jeweils jüngste Version der betroffenen Software angibt und eine Ziffer für alle übrigen, älteren Varianten. Auf diese Weise können Nutzer der jeweils neuesten Version das Risiko auf den ersten Blick erfassen.

Microsoft reagiert mit dem überarbeiteten Index auf Rückmeldungen von Kunden und trägt der Tatsache Rechnung, dass Schwachstellen in den modernen Versionen schwieriger oder gar nicht ausnutzbar sind. So verfügt Windows 7 beispielsweise über Address Space Layout Randomization (ASLR), eine Funktion, die Angriffe deutlich erschwert, beim Vorgänger Windows XP aber fehlt. Läge Exploitcode vor, der beide Betriebssysteme betrifft, dann würde das Bulletin für Windows 7 mit einer „2“ bewertet, wohingegen das Update für Windows XP aufgrund der höheren Gefahr mit einer „1“ bedacht würde.

Wie die US-Kollegen vom MSRC (Microsoft Security Response Center) in einem Blog-Beitrag ausführen, hätte beispielsweise das im April veröffentlichte Bulletin MS11-021 die Version Excel 2010 weniger stark gefährdet (Index „2“) als alle älteren Varianten (Index „1“). Einer internen Untersuchung zufolge waren bei 37 Prozent der seit Juli 2010 veröffentlichten Updates die jeweils neuesten Versionen weniger stark oder gar nicht von der geschlossenen Lücke betroffen. Von daher wird die neue Version des Exploitability Index in vielen Fällen wertvolle Unterscheidungshilfe leisten.