Patch Tuesday den 9 juni kommer när Secure Boot-deadline närmar sig

Microsofts 9 juni Patch Tuesday är några dagar bort, och den har större vikt än någon rutinmässig månadsuppdatering. Det är det sista strukturerade distributionsfönstret innan Secure Boot-certifikaten från 2011-eran börjar löpa ut den 24 juni, vilket gör att alla enheter som inte är patchade har ett försämrat säkerhetstillstånd vid uppstart från och med det datumet.

Fönstret för certifikatutgång löper 24-27 juni. Microsoft Corporation KEK CA 2011 löper ut den 24 juni, Microsoft UEFI CA 2011 löper ut den 27 juni och Microsoft Windows Production PCA 2011 följer i oktober. Enheter som inte har fått ersättningscertifikaten 2023 före den 24 juni kommer inte att sluta fungera, men de kommer att förlora möjligheten att ta emot framtida säkerhetsskydd på startnivå, inklusive uppdateringar av Windows Boot Manager, Secure Boot revocation och korrigeringar för nyupptäckta sårbarheter i startkedjan.

Varför 9 juni inte är en rutinuppdatering

Microsoft har rullat ut 2023-ersättningscertifikaten sedan februari 2026 genom kumulativa uppdateringar, med 12 maj Patch Tuesday avancerar den utrullningen ytterligare. Organisationer som försenade distributionen i maj står nu inför ett komprimerat fönster. Gapet mellan den 9 juni och utgångsdatumet den 24 juni är 15 dagar. För företagsteam som hanterar stora enhetsflottor är det inte en bekväm landningsbana.

Säkerhetsanalytiker har tydligt flaggat för trycket. Beslutet att skjuta upp maj-distributionen till juni har minskat det tillgängliga fönstret med mer än 60 procent. Varje organisation som antar att 9 juni återställer en normal tidslinje för distribution är fel. Den 9 juni är ett nödläge för de team som missade maj.

Vad du ska göra före den 9 juni och omedelbart efter

Före den 9 juni bör IT-administratörer köra följande PowerShell-kommando med administratörsbehörighet för att kontrollera certifikatstatus på alla enheter i fråga: Get-ItemProperty -Path "HKLM:SYSTEMCurrentControlSetControlSecureBootServicing" -Name UEFICA2023Status

Det förväntade resultatet för en OS-driven migrering är "Completed" Avgörande är att statusen "NotStarted" inte är ett automatiskt misslyckande; det indikerar ofta att enheten redan är säker eftersom OEM har injicerat 2023-certifikaten inbyggt via en BIOS-uppdatering nyligen. De verkliga röda flaggorna att jaga efter är en status för "Failed" eller hexkoder som fylls i den intilliggande UEFICA2023Error-nyckeln. Allt som träffar dessa feltillstånd efter distributionen den 9 juni kräver omedelbar, manuell avhjälpning.

Enheter som kör Windows Server 2025 med vissa BitLocker-grupppolicykonfigurationer kräver extra försiktighet. Buggen för återställning från start till BitLocker uppstod i uppdateringscykeln i april 2026. Uppdateringen i maj löste det för Windows 11, men fixen för Windows Server 2025 väntar fortfarande, och beteendet är flyktigt i vissa konfigurationer. Server 2025-miljöer bör slutföra en testdistribution innan uppdateringarna från den 9 juni rullas ut över hela flottan.

Den 9 juni förväntas också åtgärda sårbarheter som har upptäckts sedan uppdateringen den 12 maj, inklusive sårbarheter som har börjat utnyttjas aktivt under veckorna mellan cyklerna. Det gäller Netlogon-bristen CVE-2026-41089som flaggades som aktivt utnyttjad av Centre for Cybersecurity Belgium den 29 maj, är redan åtgärdad via uppdateringen i maj. Alla enheter som inte har tillämpat den korrigeringen bör behandla den 9 juni som en dubbelprioriterad implementering.

Tidsfristen i oktober är nästa

Slutförande av Secure Boot-certifikatövergången före den 24 juni stänger det mest brådskande fönstret men är inte slutet på processen. Microsoft Windows Production PCA 2011-certifikatet, som signerar själva Windows-startladdaren, löper ut i oktober 2026. Det är det mest strukturellt betydelsefulla av de tre utgångsdatum och det som medför den största långsiktiga risken för startintegritet för enheter som missar det.

9 juni Patch Tuesday är planerad att släppas klockan 10:00 PST.