Tot op heden is er nog maar een enkele security update verschenen voor Windows Vista, dat sinds november verkrijgbaar is. Het lijkt er nu op dat de eerste echte veiligheidsfout in het besturingssysteem is gevonden.
Een fout in Windows Mail, de opvolger van het gratis e-mailprogramma Outlook Express, kan ervoor zorgen dat aanvallers programmacode kunnen uitvoeren wanneer gebruikers op een speciaal opgemaakte link in een e-mailbericht klikken. De mogelijkheden wat betreft uit te voeren programma's zijn wel beperkt, aangezien het uit te voeren programma reeds op de harddisk moet staan en er een directory moet bestaan met dezelfde naam. Er zijn echter bestanden in een standaard Windows Vista-installatie die aan deze voorwaarde voldoen, waaronder de client voor remote-management winrm.cmd in de System32-folder. Het grootste probleem met deze bug in Vista is dat de gebruiker geen waarschuwing krijgt. Hoewel een gevaarlijke exploit nog niet direct beschikbaar is, verwacht de ontdekker dat de fout wel mogelijkheden biedt om gevaarlijke exploits te ontwikkelen. Microsoft heeft de fout erkend en is onderzoek aan het doen naar de gevolgen en mogelijke maatregelen. Windows Mail-gebruikers kunnen het beste voorlopig geen onbetrouwbare links in e-mailberichten aanklikken, maar het risico is gezien de aard van de kwetsbaarheid beperkt.
Tot op heden heeft Windows Vista nog weinig te verduren gehad op het gebied van veiligheidsproblemen, waardoor het erop lijkt dat Microsoft gelijk begint te krijgen met zijn claim dat het besturingssysteem de veiligste Windows tot nu toe is. In de eerste 90 dagen dat het besturingssysteem verkrijbaar is, is er slechts één veiligheidspatch verschenen en twee 'high-priority' updates die niet van belang waren voor de veiligheid van het besturingssysteem, aldus Microsoft. De enige veiligheidspatch voor Vista had betrekking op Windows Defender, de anti-malwaretool van Vista.
In een deze week verschenen rapport over de veiligheid van Vista meldt Jeff Jones, de directeur van de veiligheidsafdeling van Microsoft, dat Vista het beduidend beter doet dan Windows XP en Mac OS X 10.4 wat betreft het aantal veiligheidspatches. XP werd in de eerste 90 dagen na zijn release getroffen 14 veiligheidsbugs en Mac OS X 10.4 (Tiger) zelfs door 20 bugs. Ook diverse Linux-distributies, waaronder Red Hat Enterprise Linux 4 Workstation, Suse Linux Enterprise Desktop 10 en Ubuntu 6.06 LTS doen het volgens Jones met respectievelijk 201, 111 en 100 patches, een stuk slechter, maar traditioneel bestaan Mac OS X en Linux-distributies uit meer afzonderlijke applicaties dan Windows, waardoor deze vergelijking niet helemaal eerlijk is. Overigens meldt het rapport van Jones wel dat 90 dagen weinig zegt over de hele levenscyclus van het besturingssysteem, een stelling die door Oliver Friedrichs van Symantec wordt onderschreven. Friedrichs voegt daar aan toe dat de vergelijking tussen XP en Vista ook niet helemaal eerlijk is, omdat Vista van november tot januari alleen beschikbaar was voor bedrijven die minder snel een besturingssysteem in gebruik nemen dan consumenten, terwijl de andere besturingssytemen de eerste 90 dagen voor zowel consumenten als bedrijven beschikbaar waren.