A Microsoft fornece informações sobre cada atualização de segurança lançada que detalha o que é corrigido.
Não tenho certeza de onde obter uma lista de todos os patches de segurança já lançados pela Microsoft para todos os sistemas operacionais classificados por data, mas se você fez isso, pode ver que foram lançados para o XP depois que o 2k / NT4 foi lançado EOL Então, a partir daí, você pode ver todas as (muitas) coisas específicas que eles corrigiram no XP que eles não fizeram em 2k ou NT4.
E é claro que pode haver vulnerabilidades desconhecidas únicas em sistemas operacionais mais antigos que simplesmente não existem em versões mais recentes. Se todas as vulnerabilidades fossem conhecidas, elas não existiriam em primeiro lugar, é claro.
Com o XP sendo EOL, o mesmo acontecerá, as correções que aparecem no Vista / 7/8 após a data EOL do XP são coisas do XP que não estão sendo corrigidas (a menos que você pague à Microsoft por suporte estendido).
Agora você não pode fazer isso com versões 9x do Windows, pois elas não são da mesma base de código das versões do NT (que inclui NT4, 2k, XP, Vista, 7 e 8). Eu concordo com o @ nitro2k01 que é improvável que os autores de malware atuais tenham como alvo esses sistemas muito antigos. É difícil dizer como as versões 9x do Windows são mais vulneráveis (navegador ou sistema operacional), pois têm pouca ou nenhuma segurança por design.
Considere também que softwares de terceiros, como drivers de exibição, etc., podem ser uma fonte de vulnerabilidades e exigir correções de segurança. Qualquer software que exija privilégios de administrador, um driver ou um serviço para execução pode ter vulnerabilidades que podem comprometer todo o sistema e que podem ter recebido correções disponíveis apenas em sistemas operacionais posteriores.