Уровень угрозы определяется не количеством уязвимостей, а временем, которое юзер находиться под уязвимостью.
Не надо ля-ля. Сам факт наличия уязвимости не имеет значения - важен характер уязвимости и действия пользователя. Например, если для того, что бы уязвимость проявилась, пользователя нужно заманить на специальный вебсайт, а он не любитель заманиваться - ему чихать на эту уязвимость. И наоборот - тот, кто тыкает во вс╦ подряд, может в первые 5 минут после запуска броузера нарваться на проблемы.
Другой пример из этой же серии - те, у кого был включен внутренний (стандартный - да-да, он был уже в win2k) файрволл, чихали на нашумевший msblast и кучу подобных червей, сколько бы не находились под этой уязвимостью. И в то же время, те линуксятники, кто сдуру оставил открытым непопатченный ssh или nfs, получили по полной программе уже на второй день после выхода эксплойта.
Ну и наконец... Неважно когда выпущен патч (самые критичные и MS выпускает не позже чем через сутки) - важно когда его юзверь поставит, а вот это как раз очень тонкий момент - в мире и сейчас полно систем, которые устарели на несколько лет (неважно, какая там ось и какой софт).
Сколько раз нужно повторять? Безопасность - это _процесс_, а не _продукт_.