Ну, тут можно отметить три момента:
1) "с января прошлого года было продано 140 миллионов копий Windows Vista, а это, между прочим, 10 миллионов копий в месяц или, что звучит более устрашающе, почти 4 копии в секунду.
Так, в 2007 году в среднем в месяц продавалось по 9 миллионов дисков с «Вистой», а за первый квартал этого года — по более 10. Но, как бы то ни было, это все равно в два раза меньше, чем в первые месяцы после релиза этой системы, когда продавалось аж по 20 миллионов ее копий ежемесячно."
2) Критических уязвимостей MacOS и Linux WS существенно больше, хотя доля линукса на десктопах по данным последнего месяца составляет 0.67%
Она растет, конечно (прогресс с 0.65% очевиден), но все же, получается, что распространенность достаточно мало связана с количеством критических обновлений.
3) Над поиском уязвимостей в основном работают не "соответствующий круг лиц", а серьезные компании + сам производитель. Почти все уязвимости (во всех системах) закрываются еще до того, как "соответствующий круг" о них узнает. Ну, выходит патч, публикуется детально проблема. Однако, далеко не все этот патч устанавливают, и, соответственно, становятся уязвимы.
Либо второй вариант: компания-секьюрити адвайзор находит потенциальную уязвимость и сообщает об этом производителю. Детали не раскрываются (наверное много раз видел такое в интернете?). Если производитель в течение определенного времени не предпринимает никаких действий (как Adobe в случае своего Flash), то детали бага становятся достоянием общественности. И вот тогда за дело берутся "соответствующие лица"
Так что, в принципе, количество выпущенных критических обновлений можно считать показателем объективным. А учитывая распространенность Линукса и то, что для МакОС "Леопард" первый _пакет_ критических обновлений вышел _на следующий день_ после релиза (слиьно ли она распространилась за день-то? а ведь нашли МОРЕ багов), можно сказать, что распространенность влияет достаточно слабо.
Все производители стараются хорошо следить за качеством продукции, делают это сами и нанимают компании, которые на этом специализируются.
Да и распространенность Висты уже немалая, за полтора-то года такими-то темпами.
Кстати.
Есть еще один вариант. Называется "концепт-вирус". Все разнообразные реализации эксплуатитуют идеи концептов так или иначе. Концепты уязвимостей разрабатываются от архитектуры продукта, т.д.
Типа, в такой-то архитектуре как ни крути, а возможно переполнение буфера, которое, как ни крути, дает возможность получить полный доступ к системе.
Это концепт. А реализации - это уже как "крутить". Как вызвать переполнение так, чтобы получить доступ, в данном случае. Реализаций - море, разных, концепт - один.
Так вот, для Vista64 до сих пор нет ни одного концепта. Хотя работают над этим те же секьюрити-адвайзеры, те же компании-профи. А вот даже концептов нет.