Morten Lyhne Petersen
Microsofts juni-opdatering udskifter et 15 år gammelt sikkerhedscertifikat, før det udløber 24. juni.
Tirsdag den 9. juni 2026 sendte Microsoft månedens store opdatering ud til Windows 10 og Windows 11. Pakken indeholder en stribe sikkerhedsrettelser og en kritisk fejl i Exchange Server, der allerede bliver udnyttet i målrettede angreb. Men det vigtigste for almindelige brugere er nede i fundamentet, hvor et certifikat fra 2011 nærmer sig udløb.
Det handler om Secure Boot, den funktion i moderne PC’er der sikrer at maskinen kun starter operativsystem og drivere fra kilder Microsoft har godkendt. De underskrifter, der hidtil har bevist tilliden, er ved at løbe ud.
Microsoft Corporation KEK CA 2011 udløber den 24. juni 2026, oplyser Microsoft i sin officielle vejledning. Et par dage senere, den 27. juni, følger Microsoft UEFI CA 2011, mens et tredje certifikat udløber i oktober, skriver sikkerhedsfirmaet Malwarebytes.
Hvad sker der hvis du ikke opdaterer
PC’en går ikke i sort, og Windows starter stadig op som normalt. Men maskinen mister adgang til de fremtidige sikkerhedslag, der bygger oven på Secure Boot.
En enhed uden de nye certifikater “vil ikke længere kunne modtage nye sikkerhedsbeskyttelser for den tidlige startproces, herunder opdateringer til Windows Boot Manager, Secure Boot-databaser, tilbagekaldelseslister eller forsvar mod nyligt opdagede sårbarheder på opstartsniveau,” skriver Microsoft. Det rammer også funktioner som BitLocker-diskkryptering, der bygger sin tillidskæde oven på Secure Boot.
I praksis bliver maskinen langsomt mere åben for boot-niveau-malware, den type angreb der gemmer sig under selve operativsystemet og er svær at fjerne bagefter.
Hele Windows-familien er ramt
Migrationen omfatter stort set alle moderne Windows-installationer. Den dækker Windows 10 fra version 1607 og frem til 22H2, Windows 11 fra 21H2 til 24H2 samt Windows Server-udgaverne fra 2012 til 2025. Det erstattende certifikat hedder Microsoft Corporation KEK 2K CA 2023.
For de fleste danskere sker skiftet stille og automatisk. Hvis Windows Update er slået til, henter PC’en de nye certifikater via den almindelige månedlige opdatering. Selve udrulningen tager typisk omkring 48 timer og kan kræve en eller flere genstarter, før alt er på plads.
Sådan tjekker du din PC
Åbn menuen Start, gå til Windows-sikkerhed, vælg Enhedssikkerhed og find punktet Secure Boot. Hvis der står at funktionen er slået til, er du i den rigtige ende af tjeklisten. Manglende opdateringer kan tjekkes under Indstillinger og Windows Update, hvor en manuel søgning vil hente alt der ligger og venter.
Ældre PC’er fra før 2024 kan have brug for en firmware- eller BIOS-opdatering fra producenten, før de kan acceptere de nye certifikater. Tjek producentens supportside for din specifikke model.
Patch Tuesday rammer også Exchange
Ud over certifikat-migrationen lukker juni-opdateringen en sårbarhed i Microsoft Exchange Server, der allerede bliver udnyttet aktivt. Det drejer sig om en cross-site scripting-fejl i Outlook Web Access, der tillader en angriber at køre kode i en modtagers browser via en specielt udformet e-mail, skriver teknologimediet Notebookcheck. Fejlen rammer Exchange Server 2016, 2019 og Subscription Edition.
For private brugere af Outlook.com og Microsoft 365 er der ingen handling. Fejlen er specifik for on-premise Exchange-servere, som typisk findes i virksomheder.
Opdateringen tilføjer også nye funktioner. Joblisten i Windows 11 viser nu særskilte kolonner for NPU, den neurale processor der bliver brugt til AI-opgaver, og en ny Ultra-Low Latency Mode lover hurtigere respons når Start-menuen eller Søg åbnes. Microsoft har desuden aktiveret Shared Audio, der via Bluetooth LE Audio lader to par hovedtelefoner høre den samme lyd fra én PC.
