Как вы думаете, сколько времени проходит с момента появления информации об уязвимости и ее закрытием со стороны производителя? А сколько времени уязвимость не закрывается потребителем уязвимого ПО или инфраструктурного оборудования, даже несмотря на наличие выпущенного и бесплатно доступного обновления? В последнее время тема управления уязвимостями находит все большее отражение и в нормативных документах (ФСТЭК на эту тему не только разделы в своих приказах поместил, но и целые ГОСТы разработал...

http://www.securitylab.ru/blog/personal/Business_without_danger/313855.php