Sechs davon sind der Vorankündigung zufolge als "kritisch" eingestuft (was bedeutet, das Angreifer bei Exploits eigenen Code auf dem angegriffenen System zur Ausführung bringen können). Je zwei betreffen Windows und Office, die restlichen vier entfallen auf den Browser Internet Explorer (IE), SharePoint, den Windows Media Player sowie Visual Basic/Visual Studio.

Einer der beiden Windows-Patches dürfte endlich eine von Microsoft im April erstmals eingeräumte Rights-Elevation-Schwachstelle (siehe Advisory 951306) aus der Welt schaffen. Diese hatte der Sicherheitsexperte Cesar Cerrudo entdeckt. Microsoft hatte sie zunächst als "Design-Fehler" eingestuft, musste allerdings Mitte Oktober dann einräumen, dass sie von Hackern inzwischen aktiv ausgenutzt wird.