Windows Secure Boot は Microsoft の証明書を UEFI KEK および DB に保存しています。これらの元の証明書は有効期限が近づいており、影響を受ける証明書バージョンを含むデバイスは Secure Boot の機能を維持し、Windows ブートマネージャーや Secure Boot に関連するセキュリティ修正が失われることによるセキュリティの妥協を避けるために、証明書の更新を行う必要があります。オペレーティングシステムの証明書更新保護メカニズムは欠陥が含まれている可能性のあるファームウェアコンポーネントに依存しており、これにより証明書の信頼性更新が失敗したり予測不能な動作を引き起こしたりすることがあります。これにより Secure Boot の信頼チェーンが妨害される可能性があり、意図したセキュリティ保証を回復するために注意深い検証と展開が必要です。証明機関 (CA) 一覧として、Microsoft Corporation KEK CA 2011 は KEK で DB と DBX の更新に署名し、有効期限は2026年6月24日です。Microsoft Corporation UEFI CA 2011 は DB でサードパーティ製ブートローダーやオプションROMなどに署名し、有効期限は2026年6月27日です。Microsoft Windows Production PCA 2011 は DB で Windows ブートマネージャーに署名し、有効期限は2026年10月19日です。詳細については、本 CVE および Windows Secure Boot 証明書の有効期限と CA 更新をご参照ください。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。