In zijn veiligheidsbulletin MS02-063 stelt de softwaremaker dat het gaat om een fout in de softwarecode die een protocol voor zogenoemde virtual private networks (VPN's) moet implementeren. Windows 2000 en Windows XP zijn hierdoor kwetsbaar voor een DoS-aanval. Aanvallers kunnen namelijk gebruik maken van een inmiddels beproefde methode: het vol laten lopen van een buffer, waardoor deze niet gecontroleerd wordt. Meer specifiek zit het probleem in het Point-to-point Tunneling Protocol (PPTP). Hiermee kunnen gebruikers van de twee besturingssystemen een VPN creëren. Dit wordt standaard ondersteund door Windows 2000 en XP. Zowel servers als client-systemen lopen risico, aldus Microsoft. Een patch is inmiddels beschikbaar. Een dergelijk lek komt nooit goed uit, maar nu is de timing wel bijzonder ongelukkig. Eerder deze week trompetterde Microsoft namelijk in een persbericht nog over de veiligheid van Windows 2000. Dit besturingssysteem heeft de hoogste mate van veiligheid bereikt, aldus Microsoft. Microsoft ontving hiervoor het Common Criteria certificaat, een wereldwijde standaard voor veiligheid. Experts stellen evenwel tegenover The New York Times dat dit certificaat – behalve voor marketingdoeleinden – niet zo gek veel voorstelt. Er wordt namelijk niet getest op lekken. Dat bewijst inderdaad het laatste bulletin van Microsoft.