Volgens Michael Howard, senior security program manager bij Microsoft, moet het Microsoft Security Response Center (MSRC) de beoordeling van de impact van bugs in Windows Vista verlagen, vanwege de nieuwe veiligheidsfeatures in dat besturingssysteem.
Concreet zou dit moeten betekenen dat een gevonden lek in Windows Vista een lagere rating krijgt dan hetzelfde lek in een eerdere Windows-versie. Op dit moment werkt het MSRC-team echter niet op deze manier, omdat men liever heeft dat een patch teveel geïnstalleerd is dan dat Windows-installaties volzitten met bekende veiligheidslekken. Howard meent echter dat verschillende securityfeatures in Windows Vista een lagere rating rechtvaardigen: zo kan het OS nagaan of er sprake is van buffer overflows in software en zo nodig ingrijpen, wordt geheugen random gealloceerd en is het noodzakelijk om vanwege User Account Control voor een groot aantal beheersacties expliciet toestemming te geven.
Niet geheel onverwacht is het MSRC het niet met Howard eens. Volgens een woordvoerder van het team wordt van iedere gevonden bug nagegaan hoe erg hij is en wat de impact is. Dat proces is voor ieder Microsoft-product hetzelfde en daarbij zullen geen uitzonderingen gemaakt worden. Overigens wordt er door het MSRC al rekening gehouden met eventuele mitigerende factoren, zodat in sommige situaties een gevonden veiligheidsfout toch een lagere rating zal krijgen in Windows Vista dan in bijvoorbeeld Windows XP. Verschillende andere analisten zijn het ook niet met Howard eens: de aanwezigheid van extra veiligheidsfeatures wil niet zeggen dat ze ook gebruikt worden, aldus een Gartner-analist. Verder wijst men erop dat de toekomst zal uitwijzen hoe veilig Windows Vista is: als alle securityfuncties werken zullen er namelijk ook minder lekken gevonden worden.