Patchday für Windows 11: Microsoft verteilt neue Secure-Boot-Zertifikate

Am gestrigen zweiten Dienstag im Februar stand der reguläre Patchday für Windows 11 und Windows 10 an. Neben kleineren Neuerungen und Fehlerkorrekturen hat Microsoft zu diesem Anlass mit dem Austausch der Secure-Boot-Zertifikate begonnen, die ansonsten im Juni 2026 auslaufen würden.

Neue Zertifikate für Secure Boot

„Wenn sich die kryptografische Sicherheit weiterentwickelt, müssen Zertifikate und Schlüssel regelmäßig aktualisiert werden, um einen starken Schutz zu behalten“, erklärt der für die Windows-Updates zuständige Direktor Nuno Costa in einem Blog-Beitrag. Der Secure Boot samt den Zertifikaten wurden 2011 eingeführt, seit Windows 11 sind sie verpflichtend, um das Betriebssystem installieren zu können.

Wer bei Windows 10 die neuen Secure-Boot-Zertifikate erhalten will, muss am ESU-Programm teilnehmen.

Der Austausch der Sicherheitszertifikate erfolgt automatisch über Windows Updates, der Großteil der Windows-Nutzer muss keine weitergehenden Maßnahmen ergreifen. So erklärt Microsoft, sich in den letzten Monaten und Jahren eng mit OEM-Partnern abgestimmt zu haben, damit der Update-Prozess reibungslos läuft.

Auf einem Bruchteil der Geräte ist zunächst ein Firmware-Update erforderlich. Administratoren in Organisationen haben die Möglichkeit, den Prozess selbst zu verwalten.

Fehlerkorrekturen dominieren den Februar-Patchday

Das reguläre Windows-11-Update für den Februar (KB5077181) erhält alle Neuerungen, die Microsoft bereits mit dem vorläufigen Update im Januar ausgespielt hatte. Die Liste umfasst Verbesserungen beim geräteübergreifenden Arbeiten mit Android-Smartphones und eine optimierte Sprachsteuerung. Windows Hello ESS unterstützt nun externe Fingerabdrucksensoren.

Zusätzlich erhält es die Out-of-Band-Updates, die Microsoft als Notfall-Fixes für das Januar-Update verteilen musste. Weitere Probleme, die man behoben hat, betreffen Berechtigungen eines Geräts für Vollbild-Gaming und Verbindungsschwierigkeiten bei WLAN-Netzwerken mit WPA3.

Windows 10 erhält mit dem Update KB5075912 ebenfalls einige Fehlerkorrekturen. Behoben werden Probleme mit der Desktop.ini, Stabilitätsprobleme mit einigen GPU-Konfigurationen sowie einem Bug, der dazu führte, dass einige Windows-10-Geräte mit Secure Boot und aktivierten VSM (Virtual Secure Mode) nicht herunterfahren konnten.

59 Sicherheitslücken geschlossen

Im Rahmen des Patchdays hat Microsoft auch 59 Sicherheitslücken, die eine CVE-Einstufung bis 9,8 haben, geschlossen. Eine dieser Lücken wurde bereits behoben, die andere betrifft das „Azure KI Language-Konversations-Erstellungs-SDK”. Angreifer können durch diese Schwachstelle manipulierte Fortsetzungstoken generieren lassen.

Interessant ist noch eine Lücke mit dem Schweregrad 8,8, die eine Remotecodeausführung in der Notepad-App ermöglicht. Angreifer könnten Nutzer dazu verleiten, in einer in Notepad geöffneten Markdown-Datei auf einen bösartigen Link zu klicken. Dadurch werden von der Anwendung nicht verifizierte Protokolle gestartet, die Remote-Dateien laden und ausführen.