CVE-2026-21265

Windows Secure Boot stores Microsoft certificates in the UEFI KEK and DB. These original certificates are approaching expiration, and devices containing affected certificate versions must update them to maintain Secure Boot functionality and avoid compromising security by losing security fixes related to Windows boot manager or Secure Boot. The operating system’s certificate update protection mechanism relies on firmware components that might contain defects, which can cause certificate trust updates to fail or behave unpredictably. This leads to potential disruption of the Secure Boot trust chain and requires careful validation and deployment to restore intended security guarantees. Certificate Authority (CA) Location Purpose Expiration Date Microsoft Corporation KEK CA 2011 KEK Signs updates to the DB and DBX 06/24/2026 Microsoft Corporation UEFI CA 2011 DB Signs 3rd party boot loaders, Option ROMs, etc. 06/27/2026 Microsoft Windows Production PCA 2011 DB Signs the Windows Boot Manager 10/19/2026 For more information see this CVE and Windows Secure Boot certificate expiration and CA updates.

Windows Secure Boot stores Microsoft certificates in the UEFI KEK and DB. These original certificates are approaching expiration, and devices containing affected certificate versions must update them to maintain Secure Boot functionality and avoid compromising security by losing security fixes related to Windows boot manager or Secure Boot. The operating system’s certificate update protection mechanism relies on firmware components that might contain defects, which can cause certificate trust updates to fail or behave unpredictably. This leads to potential disruption of the Secure Boot trust chain and requires careful validation and deployment to restore intended security guarantees. Certificate Authority (CA) Location Purpose Expiration Date Microsoft Corporation KEK CA 2011 KEK Signs updates to the DB and DBX 06/24/2026 Microsoft Corporation UEFI CA 2011 DB Signs 3rd party boot loaders, Option ROMs, etc. 06/27/2026 Microsoft Windows Production PCA 2011 DB Signs the Windows Boot Manager 10/19/2026 For more information see this CVE and Windows Secure Boot certificate expiration and CA updates.

Secure Boot de Windows almacena certificados de Microsoft en el KEK y DB de UEFI. Estos certificados originales están próximos a caducar, y los dispositivos que contienen versiones de certificados afectadas deben actualizarlos para mantener la funcionalidad de Secure Boot y evitar comprometer la seguridad al perder las correcciones de seguridad relacionadas con el gestor de arranque de Windows o Secure Boot. El mecanismo de protección de actualización de certificados del sistema operativo se basa en componentes de firmware que podrían contener defectos, lo que puede hacer que las actualizaciones de confianza de los certificados fallen o se comporten de manera impredecible. Esto lleva a una posible interrupción de la cadena de confianza de Secure Boot y requiere una validación y un despliegue cuidadosos para restaurar las garantías de seguridad previstas. Autoridad de Certificación (CA) Ubicación Propósito Fecha de Vencimiento Microsoft Corporation KEK CA 2011 KEK Firma las actualizaciones de la DB y DBX 24/06/2026 Microsoft Corporation UEFI CA 2011 DB Firma cargadores de arranque de terceros, ROMs de opción, etc. 27/06/2026 Microsoft Windows Production PCA 2011 DB Firma el Gestor de Arranque de Windows 19/10/2026 Para más información, consulte este CVE y el vencimiento de los certificados de Secure Boot de Windows y las actualizaciones de CA.