Разбираемся, как оценивать уязвимости по-настоящему: что чинить в первую очередь, а что можно отложить. Рассмотрим практические примеры, ошибки и работающие методы приоритизации, а также узнаем, почему одной оценки недостаточно. Автор статьи — Кирилл Казарин, спикер курса «Администрирование Linux» и автор телеграм-канала Kazarin.online. Уязвимости Уязвимость в ПО — это слабое место, через которое злоумышленник может вмешаться в работу системы. Типичный сценарий — использовать известную CVE, чтобы: Сотни атак за последние годы начинались с одной строки в скан-отчёте...

Microsoft подтвердила активную эксплуатацию уязвимости CVE-2026-32202 в Windows Shell, исправленной в ежемесячном обновлении безопасности с оценкой CVSS 4,3. По данным исследователя из компании Akamai Маора Дахана (Maor Dahan), уязвимость возникла из-за неполного февральского патча для CVE-2026-21510 и позволяет красть учётные данные без каких-либо действий со стороны жертвы: атакующий похищает хеш NTLM-аутентификации через автоматически обрабатываемые LNK-файлы. Уязвимость относится к типу спуфинг (spoofing) — атакующий подменяет данные, чтобы выдать вредоносный объект за доверенный...

CVSS (Common Vulnerability Scoring System) — это международный стандарт, позволяющий за 5‑10 секунд определить критичность уязвимости по шкале от 0 до 10, используя три группы метрик: базовую, временную и экологическую. Оценка в баллах даёт возможность быстро сравнить риски и принять решение о приоритетах исправления. Базовый балл CVSS рассчитывается из семи метрик, отражающих свойства уязвимости, такие как сложность эксплуатации и потенциальный ущерб. Каждая метрика имеет числовой коэффициент; их произведение и последующая калибровка дают значение от 0 до 10...