В соответствии с методикой сертификации производитель сам определяет окружение и [[модель злоумышленника]], в которых находится продукт. Именно в этих предположениях и проверяется соответствие продукта заявленным параметрам. Если после сертификации в продукте обнаружатся новые, неизвестные ранее [[уязвимость|уязвимости]], производитель должен выпустить [[обновление]] и провести повторную сертификацию. В противном случае сертификат должен быть отозван.
[[Операционная система]] [[Microsoft]] [[Windows XP]] {{нет АИ 2|(исходная версия, без SP1)|6|01|2016}} (Professional SP2 и Embedded SP2), а также Windows 2003<ref>https://www.commoncriteriaportal.org/files/epfiles/st_vid9506-vr.pdf Сертификация XP SP2, 2007</ref><ref>https://www.commoncriteriaportal.org/files/epfiles/st_vid4025-st.pdf Сертификация XP SP2, 2005</ref><ref>[https://www.schneier.com/blog/archives/2005/12/microsoft_windo.html Microsoft Windows Receives EAL 4+ Certification] / Schneier, 2005, по материалам [http://www.eweek.com/c/a/Windows/Windows-XP-Gets-Independent-Security-Certification "Windows XP Gets Independent Security Certification" / eWeek, 2005-12-14] {{ref-en}}</ref><ref>[http://www.microsoft.com/en-us/download/details.aspx?id=20992 Windows XP / Server 2003 Common Criteria Evaluation Technical Report] / Microsoft, 2005 (ZIP, DOC) {{ref-en}}</ref> были сертифицированы на уровень Common Criteria EAL4+ по профилю CAPP<ref>Controlled Access Protection Profile (CAPP), version 1.d, October 8, 1999; – ISO/IEC 15408:1999.</ref> в 2005-2007 годах, после чего для неёних было выпущенобыли тривыпущены пакетапакеты обновлений (''service pack'') и регулярно выпускались новые критические обновления безопасности. Тем не менее, Windows XP в исходнойпроверявшейся версии по-прежнему обладаетобладал сертификатом EAL4+, {{нет АИ 2|никаких дополнительных сертификаций не проводилось|6|01|2016}}<ref>https://www.commoncriteriaportal.org/files/epfiles/st_vid9506-vr.pdf Сертификация XP SP2, 2007</ref><ref>https://www.commoncriteriaportal.org/files/epfiles/st_vid4025-st.pdf Сертификация XP SP2, 2005</ref>. Это факт свидетельствует в пользу того, что условия сертификации (окружение и модель злоумышленника) были подобраны весьма консервативно, в результате чего ни одна из обнаруженных уязвимостей не применима к протестированной конфигурации.
Разумеется, для реальных конфигураций многие из этих уязвимостей представляют опасность. Microsoft рекомендует пользователям устанавливать все критические обновления безопасности.
