　最も深刻度が高いと見られるCSRSS（Windows Client/Server Run-time Subsystem）の脆弱性（MS07-021）は、Microsoftが12月22日に報告していたもの。コンセプト実証コードも公開され、セキュリティ関係者の間では「Vista Memory Corruption Zero-Day」とも呼ばれているという。

　CSRSSのエラーメッセージ処理方法などに3件の脆弱性が存在し、細工を施したアプリケーションを使ってリモートでコードを実行される恐れがある。Microsoftではコンセプト実証コードの存在は確認したが、実際に悪用されユーザーが攻撃されたという情報は入っていないとしている。影響を受けるのはWindows VistaとWindows 2000 SP4、Windows XP SP2、Windows Server 2003／SP1／SP2。

　一方、Microsoft Content Management Serverの脆弱性修正パッチ（MS07-018）はSP1（英語版）とSP2が対象となり、リモートからのコード実行や情報漏洩につながる2件の脆弱性に対処した。

　日本のセキュリティチームのブログによると、MS07-018はインストールした更新プログラムの削除ができないため、適用前に十分な注意が必要だという。バックアップを取っていない場合、CMSの再インストールが必要になる可能性があるため、システムのバックアップを確実に取るよう勧告している。

　残る更新プログラムはWindows関連。ユニバーサルプラグ＆プレイの脆弱性（MS07-019）とMicrosoftエージェントの脆弱性（MS07-020）は、悪用されるとリモートでコードを実行される恐れがある。重要レベルの1本（MS07-022）では、Windowsカーネルの脆弱性により特権が昇格される問題に対処した。いずれもWindows Vistaは影響を受けない。

　今回はセキュリティ以外のアップデートとして、前倒しで緊急リリースしたアニメカーソル脆弱性修正パッチ（MS07-017）の不具合を解消するホットフィックスも、影響を受けるユーザーを対象に同時配布する。また、悪意のあるソフトウェア削除ツールの更新バージョンも公開している。