In 2003 duurde het gemiddeld drie maanden voordat Microsoft een patch beschikbaar had om een beveiligingslek in zijn software te dichten. In 2004 en 2005 duurde dit gemiddeld 134,5 dagen, zo meldt The Washington Post op basis van eigen onderzoek.

Microsoft komt echter sneller met een oplossing als een externe partij een lek in de publiciteit brengt. In 2003 had Microsoft gemiddeld 71 dagen, nadat een lek in Microsoft-software door een extern bedrijf was gemeld, een patch beschikbaar. In 2004 was dit 55 dagen en vorig jaar gemiddeld 46 dagen.

"Microsoft houdt er niet van dat externe partijen softwarelekken bekendmaken voordat wij op de hoogte zijn gebracht", reageert Stephen Toulouse van Microsoft. Dat het uitbrengen van een patch zoveel tijd kost, is volgens hem wel verklaarbaar. "Het ontwikkelen van een patch is het makkelijkste deel, het testen om te kijken of het op elke pc werkt, kost de meeste tijd."

Microsoft zit een beetje in een tweestrijd bij het patchen, stelt beveiligingsdeskundige Marc Maiffret van eEye Digital Security. "Bedrijven hechten grote waarde aan een patch die is getest en die in een keer het probleem oplost; dat kost tijd. En consumenten zijn gebaat bij een snelle oplossing. Hoe langer het duurt voordat een patch beschikbaar is, hoe langer consumenten aan gevaren onderhevig zijn."