Ein fundamentales Microsoft-Sicherheitszertifikat läuft diesen Monat ab und zwingt die gesamte Linux-Welt zu einer grundlegenden Umstellung. Das Microsoft UEFI CA 2011, das für das Signieren von Bootloadern unzähliger Betriebssysteme verantwortlich ist, verliert im Juni 2026 seine Gültigkeit. Die Folge: Systeme müssen auf neuere kryptografische Standards umgestellt werden, sonst drohen Startprobleme.
Linux-Distributionen in der Pflicht
Betroffen sind vor allem Linux-Distributionen, die Secure Boot nutzen. Sie migrieren derzeit ihre „Shim“-Signaturpfade auf das neuere Microsoft UEFI CA 2023. Bereits installierte Systeme sollten zwar problemlos weiterlaufen, doch für neue Installationsmedien, ältere Hardware und Rettungssysteme wird es kritisch.
Anzeige: Wer das Windows-Update am 24. Juni ohne Ausfälle überstehen will, braucht eine klare Vorbereitung – insbesondere bei Dual-Boot und kleinen EFI-Partitionen. Dieser Leitfaden zeigt Schritt für Schritt, wie Sie Secure-Boot-Zertifikate aktualisieren, die EFI-Partition vergrößern und Rettungsmedien vorbereiten. Jetzt kostenlosen Update-Leitfaden anfordern
Wer diese Komponenten nicht rechtzeitig aktualisiert, riskiert, dass Installationen fehlschlagen oder Wiederherstellungswerkzeuge auf Systemen mit aktiviertem Secure Boot nicht mehr starten. Die Umstellung ist zwingend erforderlich, um die von moderner Firmware geforderte Vertrauenskette aufrechtzuerhalten.
Massiver Sicherheitspatch am 24. Juni
Doch das ist nicht alles. Am 24. Juni 2026 rollt Microsoft ein großes Sicherheitsupdate aus, das rund 400 Millionen Windows-Rechner betreffen wird. Die sogenannte UEFI Revocation List (DBX) wird massiv erweitert: Hunderte Signaturen, darunter diverse Bootloader- und Shim-Versionen, landen auf der schwarzen Liste.
Hauptgrund ist CVE-2026-8863 – eine Sicherheitslücke, die einen Secure-Boot-Bypass in bestimmten Linux-Shim-Bootloadern ermöglicht. Das Problem: DBX-Updates sind append-only und irreversibel. Für refurbished PCs, Dual-Boot-Konfigurationen und Nutzer älterer Rettungsmedien wird das zur echten Herausforderung. Sobald die Firmware die neue Blacklist enthält, booten Medien mit gesperrten Bootloadern nicht mehr.
Windows-Update legt Hardware lahm
Bereits Anfang Juni gab es handfeste Probleme. Am 9. Juni 2026 sorgte das Windows-11-Update KB5094126 für Boot-Fehler und Blue Screens of Death (BSOD) auf spezifischer Profi-Hardware. Betroffen waren unter anderem:
- HP EliteBook 840 G10
- HP ProBook 460 G11
- HP Engage One Pro 15.6 G2
- Diverse ZBook- und Dell-Precision-Modelle
Die technische Analyse zeigt: Das Update versucht, neue Secure-Boot-Zertifikate in die EFI-Partition zu schreiben. Auf vielen betroffenen Rechnern ist diese Partition auf 100 Megabyte begrenzt – zu wenig für die neuen Sicherheitsdaten neben den vorhandenen HP-Firmware-Wiederherstellungsdateien. Die Folge: „Nicht genügend Speicherplatz“-Fehler oder BitLocker-Wiederherstellungsaufforderungen.
Als Übergangslösungen empfehlen Experten, Secure Boot vorübergehend zu deaktivieren, die EFI-Partition manuell auf 500 Megabyte bis 1 Gigabyte zu vergrößern oder BIOS-Updates der Hersteller einzuspielen.
Weitere Sicherheitsupdates im Linux-Ökosystem
Anzeige: CVE-2026-8863 gefährdet Secure Boot: Ab 24. Juni landen Hunderte Bootloader auf der Blacklist. Wer jetzt nicht handelt, riskiert BSOD und Boot-Fehler. Der Leitfaden liefert eine konkrete Checkliste zur EFI-Partitions-Vergrößerung und einen Notfallplan für Dual-Boot-Systeme. Notfallplan Secure Boot jetzt sichern
Parallel zur Zertifikatsumstellung haben Maintainer weitere Schwachstellen im Linux- und Virtualisierungsbereich geschlossen. Bereits im Februar wurden Updates für das SUSE-Ökosystem ausgerollt, die mehrere hochriskante Sicherheitslücken schließen:
- snpguest (Version 0.10.0): Behebt CVE-2026-25727 (Stack-Exhaustion) und CVE-2025-3416 (Use-after-Free in rust-openssl)
- freerdp: Mehrere Heap-basierte Schwachstellen (CVE-2026-24491, CVE-2026-24679) wurden gepatcht, um Speicherkorruptionen in Remotedesktopdiensten zu verhindern
- openvswitch: Eine Denial-of-Service-Lücke (CVE-2024-2182) bei der BFD-Paketvalidierung wurde für Enterprise-Server-Editionen geschlossen
Die Updates zeigen: Der Abschied von veralteten kryptografischen Standards erfordert einen kontinuierlichen Kraftakt – und bringt kurzfristig mehr Chaos als Sicherheit.
