Windows-Sicherheit: 206 Lücken gestopft, Boot-Zertifikate laufen aus
14.06.2026 - 16:07:29 | boerse-global.de
Die größte Sicherheitsaktion der Windows-Geschichte steht bevor: Microsoft stopft 206 Lücken und warnt gleichzeitig vor dem Auslaufen grundlegender Boot-Zertifikate.
Am 12. Juni 2024 hat Microsoft einen beispiellosen Sicherheitsupdate-Schub veröffentlicht. 206 Schwachstellen wurden geschlossen, darunter 39 als kritisch eingestufte Lücken. Doch die eigentliche Herausforderung für Administratoren kommt erst in den nächsten Tagen: Die Secure-Boot-Zertifikate, die seit über einem Jahrzehnt die Systemsicherheit gewährleisten, laufen Ende Juni aus.
Angesichts der massiven Sicherheitsupdates und Systemänderungen fragen sich viele Nutzer, ob ihre aktuelle Windows-Installation noch sicher und zukunftsfähig ist. Dieser kostenlose Expertenreport zeigt Ihnen, wie Sie ohne Risiko und Datenverlust auf das modernste Betriebssystem wechseln. Windows 11 Starterpaket jetzt kostenlos herunterladen
Zertifikats-Wechsel: Zwei entscheidende Termine
Branchenanalysten und Microsoft haben zwei kritische Daten im späten Juni identifiziert. Das 2011 Key Exchange Key Certificate Authority (KEK CA) läuft am 24. Juni ab, gefolgt vom 2011 UEFI CA am 27. Juni. Diese Zertifikate sind für die Überprüfung der Authentizität von Boot-Komponenten und Betriebssystem-Ladern unerlässlich.
Microsoft stellt auf neue 2023er-Zertifikate um, die bis 2038 gültig bleiben. Die Updates werden über Windows Update verteilt, doch einige Systeme benötigen möglicherweise herstellerspezifische Firmware-Updates. Zwar booten Computer auch nach den Juni-Fristen weiter – die vorhandenen Schlüssel werden nicht aus der Firmware entfernt –, doch ohne die aktualisierten Zertifikate können keine neuen Sicherheitsupdates für Boot-Komponenten oder aktualisierte Malware-Blacklists mehr installiert werden.
Der Übergang betrifft auch das Linux-Ökosystem. Distributionsbetreiber müssen ihre „Shim"-Signierungspfade auf die 2023er-CA umstellen. Bestehende Installationen sollten weiter funktionieren, aber Experten warnen: Neue Installationsimages, Rettungsmedien und Dual-Boot-Konfigurationen könnten Probleme bekommen, wenn Firmware und Secure-Boot-Datenbanken nicht auf dem neuesten Stand sind.
Hardware-Konflikte: Wenn Updates Systeme lahmlegen
Der Rollout der notwendigen Sicherheitsupdates verlief nicht reibungslos. Bereits am 9. Juni führte das Windows-11-Update KB5094126 auf bestimmter Hardware zu Systemabstürzen und Blue-Screen-of-Death-Fehlern (BSOD). Betroffen waren unter anderem mehrere HP-Modelle wie das EliteBook 840 G10 und ProBook 460 G11 sowie Dell Precision 7530 Workstations.
Die Hauptursache: die Größe der EFI-Partition (Extensible Firmware Interface). Während viele ältere oder Standardinstallationen eine 100-MB-Partition verwenden, benötigen die neuen Secure-Boot-Dateien mehr Speicherplatz. Das führt zu „Nicht genügend Speicherplatz"-Fehlern. Bei einigen HP-Modellen wird die Partition zusätzlich durch BIOS-Wiederherstellungsdateien eingeschränkt. Technische Workarounds umfassen die manuelle Vergrößerung der EFI-Partition auf 500 MB bis 1 GB oder ein BIOS-Update vor der Installation der Windows-Patches.
Systemabstürze und Update-Fehler wie der aktuelle Blue-Screen-Bug lassen viele Anwender verzweifeln und treiben die Servicekosten in die Höhe. In diesem Gratis-Leitfaden erfahren Sie, wie Sie typische Windows-11-Probleme und Installationsfehler ganz einfach selbst beheben können. Kostenlosen Erste-Hilfe-Report für Windows 11 sichern
In einigen Fällen zeigt die Windows-Sicherheits-App eine gelbe Statusmeldung an: Das Gerät kann aufgrund von Hardware- oder Firmware-Einschränkungen keine automatischen Zertifikatsupdates durchführen. Dann sind manuelle Firmware-Prüfungen oder sogar Hardware-Austausch nötig – falls der Hersteller noch Support bietet.
Rekord-Patchday: Drei Zero-Day-Lücken geschlossen
Der Patchday vom 12. Juni adressierte insgesamt 206 Schwachstellen. Neben den 39 kritischen Lücken wurden drei Zero-Day-Sicherheitslücken geschlossen, die vor der Veröffentlichung des Patches öffentlich bekannt waren – allerdings wurde keine von ihnen zum Zeitpunkt der Veröffentlichung aktiv ausgenutzt.
Dazu gehören:
- Eine Rechteausweitung im Collaborative Translation Framework (CVE-2026-45586)
- Eine Denial-of-Service-Sicherheitslücke in HTTP.sys (CVE-2026-49160)
- Ein BitLocker-Bypass (CVE-2026-50507)
Weitere hochpriorisierte Fixes betrafen Remote-Code-Execution-Lücken (RCE) im Windows-Kernel, DHCP-Client und SharePoint. Microsoft behob zudem einen lästigen Bug im Windows Update Standalone Installer (WUSA), der seit Mai 2025 Fehler bei der Installation von Update-Dateien aus Netzwerkfreigaben verursacht hatte.
Ausblick: Lebenszyklus-Enden im Juli
Neben den unmittelbaren Zertifikatsfristen stehen Administratoren mehrere End-of-Support-Termine am 14. Juli 2024 bevor. Dann endet der Lebenszyklus für:
- SharePoint 2016 und 2019
- Project Server 2016 und 2019
- SQL Server 2016
Zudem beginnt im Juli die Durchsetzungsphase für die Kerberos-RC4-Härtung – ein bedeutender Schritt in der Netzwerk-Authentifizierungssicherheit.
