ベンダが修正した脆弱性について、著者が以前分析結果を発表した時に感じたことだが、修正されていない脆弱性についても分析しなければ、全体観を得ることはできない。未修正の脆弱性は修正済みのものより、列挙し分析するのが難しい。なぜなら、後者については、ベンダのアドバイザリが修正済みの脆弱性を列挙したものを見ることができるからだ。しかし、多くの手作業を持っていすれば、未修正脆弱性の分析は可能である。

ForefoxとInternet Explorerの最新版の未修正脆弱性リストを作るため、著者は下記のプロセスを踏んだ。

1.National Vulnerability Database (NVD) (http://nvd.nist.gov)を利用して、それぞれのブラウザ(ForefoxとInternet Explorer)に影響を与えるとされている脆弱性をリスト化する。
2.ベンダのアドバイザリが修正済みとした脆弱性や、NVDがアドバイザリを確認し修正済みとした脆弱性をマークする。ベンダのアドバイザリは必ずしもCVE識別番号で修正した問題を発表しないため、NVDが修正済みとした脆弱性をチェックすることは必要である。例えばMFSA2005-50は、どの脆弱性もCVE識別番号で示していない。しかし、 NVDのCVE2005-2265のエントリは、MFSA2005-50をパッチアドバイザリとしている。(ちなみに、このステップはFirefoxにだけ役立つ。)
3.リストから、NVDが不適である、重複していると認めたものや、ブラウザが間違ってリストアップされていたもの及び、実際に脆弱性があったのはブラウザではなかったものを排除した。例えば、CVE-2007-3657はFirefox 2に影響があるとされていたが、他の研究者はこれを否定していた。そこで、著者はこれをFirefoxの脆弱性としてカウントしなかった。同様に、CVE-2007-1377はFirefoxに影響があるとされていたが、実際にはAdobe plug-inに問題があった。よって、著者はこれをカウントしなかった。
4.他にも様々な参考文献を調べ、分析対象としたブラウザのバージョンに各々の脆弱性が関係するか調査した。

未修正脆弱性のリストには、いくつか注意していただきたい点がある。NVDのリストにはFirefox 2以前にリリースされたFirefox 1.0およびFirefox 1.5の脆弱性で、ベンダにより修正されたか確認できないものが含まれている。これらの脆弱性はまだFirefox 2に残っているかもしれないし、後発バージョンのリリースの一部としてひっそりと直されているかもしれないため、筆者にはわからない。同じように、NVDのリストにはInternet Explorer 7以前にリリースされたInternet Explorer 6やその前のバージョンの脆弱性が含まれており、Internet Explorer 7のリリースで解決されたかもしれないし、解決されていないかもしれない。Internet Explorer 6の問題がInternet Explorer 7に残っていると研究者が指摘しているもの以外は筆者にはわからない。よって、筆者はこれらの脆弱性をリストに含めている。おそらく、このレポートはブラウザの脆弱性に関する研究に拍車をかけるだろう。

Firefox 2とInternet Explorer 7の脆弱性で、NVDのリストに含まれているがベンダのパッチがリリースされていないものを下図に示す。

実際には、Internet Explorer 7の脆弱性のうち2つはWindows XPプラットフォームでのみ影響し、1つはWindows Vistaプラットフォームでのみ影響する。よって、プラットフォーム別の全体数は少し少なくなるだろう。
しかし、著者はFirefoxの脆弱性をプラットフォーム別に分けることがでいないため、単に全体数を図とするのがよいと考えた。