Ok, então primeiro você terá que extrair o conteúdo desse hotfix, abrir o CMD, localizar seu hotfix e digitar o seguinte:
WindowsXP-KB953760-v2-x86-ENU.exe /t:C:\<target_dir>\ /c
Isso terá extraído vários arquivos, incluindo um arquivo MSP.
Você pode criar um script baseado nesse arquivo MSP, criar um script chamado "KB953760.bat" e hospedar o arquivo no controlador de domínio "DC1" em um compartilhamento chamado "Patches" (substituir esses detalhes por algo mais adaptando-se à sua rede). O conteúdo do arquivo .bat deve ser algo como:
%windir%\system32\msiexec.exe /p \DC1\patches\KB953760-v2-x86-ENU.msp /qn
O único problema com este script é que ele tentará executá-lo sempre, você precisa de alguma maneira para verificar se ele está instalado antes de pegar o patch. Vou ver se posso refinar um pouco, mas isso deve fazer você começar pelo menos.
Agora você tem seu script para criar um GPO e incluir esse script na seção de configuração do computador.