Critico è un'etichetta di gravità usata per le vulnerabilità che possono causare un grave impatto sulla sicurezza, come l'esecuzione di codice remoto, l'escalation dei privilegi, il furto di dati o la compromissione completa del sistema. Nella valutazione di Microsoft, rappresenta il livello di gravità più alto e di solito significa che il difetto può essere sfruttato in un modo che minaccia direttamente la riservatezza, l'integrità o la disponibilità.
Questa etichetta è importante perché guida il triage. I team di sicurezza la usano per dare priorità all'applicazione delle patch, alla revisione dell'esposizione e alle misure di mitigazione sui servizi esposti a Internet, sui sistemi di identità e su altre risorse ad alta fiducia. Negli attacchi reali, un problema Critico può essere trasformato rapidamente in un'arma se gli aggressori riescono a raggiungere il componente vulnerabile prima che i difensori applichino una correzione. Nella difesa, Critico non significa automaticamente che ogni sistema abbia la stessa urgenza; i team verificano comunque se la funzionalità vulnerabile è installata, raggiungibile ed esposta nel loro ambiente.



