Mit dem März-2026-Patchday hat Microsoft 79 Schwachstellen behoben, darunter zwei aktiv ausgenutzte Zero-Day-Lücken. Das erweiterte Sicherheitsupdate KB5078885 bündelt diese Korrekturen für Windows 10 und bringt das System auf Build 19045.7058 beziehungsweise Windows 10 Enterprise LTSC 2021 auf Build 19044.7058.
Neben den reinen Sicherheitskorrekturen beseitigt das Update mehrere bekannte Fehler. So konnten einige Secure-Launch-fähige PCs mit aktiviertem Virtual Secure Mode (VSM) nach Installation des Sicherheitsupdates, das ab dem 13. Januar 2026 veröffentlicht wurde, nicht mehr heruntergefahren werden oder in den Ruhezustand wechseln – stattdessen starteten die Geräte neu. Behoben wird zudem ein verwandtes Problem, das das Herunterfahren oder den Ruhezustand bei aktiviertem System Guard Secure Launch verhinderte.
Weitere Korrekturen betreffen das Umbenennen von Ordnern mit desktop.ini-Dateien im Datei-Explorer: Die Einstellung LocalizedResourceName wurde ignoriert, sodass benutzerdefinierte Ordnernamen nicht angezeigt wurden. Auch in der Dateiversionsverlauf-Funktion der Systemsteuerung lassen sich nun Dateien mit Namen sichern, die bestimmte chinesische Zeichen oder Zeichen aus dem Bereich für private Nutzung enthalten. Hinzu kommen eine behobene Stabilitätsstörung bei bestimmten GPU-Konfigurationen sowie Anpassungen chinesischer Schriftarten zur Erfüllung der Norm GB18030-2022A.
Im Windows-Systemabbild-Manager fügt Microsoft einen Warnhinweis hinzu, der Nutzer bestätigen lässt, dass die ausgewählte Katalogdatei aus einer vertrauenswürdigen Quelle stammt.
Ein Schwerpunkt des Updates liegt auf Secure Boot. Microsoft erweitert die hochzuverlässige Geräte-Zielsteuerung, um mehr Geräte für den automatischen Bezug neuer Secure-Boot-Zertifikate zu erfassen. Die Auswahl stützt sich vor allem auf Diagnosedaten der Clientgeräte; Server qualifizieren sich wegen begrenzter Datenlage voraussichtlich nicht, sind aber nicht ausdrücklich ausgeschlossen. Neue Zertifikate erhalten Geräte erst nach ausreichend erfolgreichen Update-Signalen, sodass die Verteilung kontrolliert und schrittweise erfolgt.
Damit setzt Microsoft die Ausrollung neuer Secure-Boot-Zertifikate fort, die die älteren Zertifikate aus dem Jahr 2011 ersetzen sollen. Diese laufen im Juni 2026 ab. Die Zertifikate dienen der Validierung von Windows-Startkomponenten, Bootloadern von Drittanbietern sowie Secure-Boot-Sperrlisten-Updates; sind sie abgelaufen, könnten Angreifer Schutzmechanismen umgehen.
