Wo über Jahre Sicherheitslücken gefunden werden, sind bestimmt noch mehr. Oder anders, es ist Software und viele MB groß, also ist es mit an Sicherheit grenzender Wahrscheinlichkeit unsicher.

Also wird ein Programm, bei dem über jahre nur noch Sicherheitsupdates erfolgen aber keine neuen Features kommen, nicht sicherer? Wofür dann Sicherheitsupdates?

Das stellt sich mir die Frage, was für dich "sicherer" ist. Ist ein Programm mit drei Lücken sicherer als eins mit 20? Aber lassen wir es von mir aus sicherer werden, das ändert nichts daran, daß neue Sicherheitslücken entdeckt werden können (und mit ziemlicher Sicherheit entdeckt werden) die aber nicht mehr geschlossen werden, zumindest nicht vom Hersteller.

Die Art von Software ist nie sicher im Sinne von, frei von Lücken, sondern immer nur sicher im Sinne von, Lücken werden nach Entdeckung schnell geschlossen.

Und weil jetzt der Support ausläuft werden von Hackern schlagartig Fehler gefunden, die über Jahre verborgen waren?

Die Fehler die gefunden worden, sind auch über die Jahre gefunden worden.