Не процитируете пункт соглашения? Я нашел только про то что обновления для самого сервиса обновления (пункт 5.a в соглашении к Windows 8) могут быть без вопросов, но ничего про другие обновления, в т.ч. критические. В соглашении к серверу 2012 ясно сказано, что все функции обновления можно отключить (6 пункт). Лицензия к Windows 10 уже менее приятна, но и там не всё так ужасно.
К тому же, даже допустив что это так (что исключительно маловероятно) - что мешает особо озабоченным заблокировать доступ к серверам обновлений (их не так уж и много)?

Было бы интересно глянуть на конфигурацию рабочих станций и доменных политик - 99.99% что это было явно (или косвенно) разрешено и админы это пропустили.

Да что вы? В каком пунке лицензионного соглашения он это дает - к примеру, тот же Ubuntu? Они явно пишут, что используя их дистрибутив, пользователь соглашается со всеми лицензиями всех компонентов, а вот в каждой из них стоит почти одно и то же: "There is no warranty for the program, to the extent permitted by applicable law." ну и далее по тексту.
RedHat берет на себя частичную ответственность, но тоже далеко не за всё. Да и как он может гарантировать что засланный казачок или автор/дистрибутор/контрибутор определенного приложения не испортит что-то внутри?

Все только извинятся, особенно те кто дистры на линксе клепает - см. выше про отсутствие гарантий. Да, это будет удар по их репутации, но это фигня - вон в OpenSSL дыру нашли, да ещё какую - и что, перестали его использовать? Или кто-то был наказан? Кто-то заплатил за ущерб (а он был немаленький)?