Egy gyors keresés:
Apache 2.2.x 2003-2013 között 56 vuln:
http://secunia.com/advisories/graph/?type=adv&period=all&prod=9633
IIS 7.x 2003-2013: 8 vuln:
http://secunia.com/advisories/graph/?type=adv&period=all&prod=17543
(de még a 2.4-es is 9-et összehozott már pedig még "gyerek", azért választottam a 7.x-et a 2.2-vel, mert hasonló az időszak)
Belemehetünk a sebezhetőségek súlyosságába is, de ott sem lesz jobb a helyzet. Be kell látni, hogy az IIS a 15 évvel ezelőtti katasztrofális biztonsági szintjéről az elmúlt években az egyik legbiztonságosabb lett.