Die Schwachstelle betrifft Windows Secure Boot, jenen Mechanismus, der beim Start eines Rechners sicherstellt, dass nur vertrauenswürdige, signierte Boot-Software geladen wird. Die dafür nötigen Microsoft-Zertifikate sind in der UEFI-Firmware hinterlegt – in den Speicherbereichen KEK (für Aktualisierungen der Zertifikatslisten) und DB (für die Vertrauensstellung von Boot-Manager, Bootloadern und Option-ROMs). Diese ursprünglichen Zertifikate nähern sich dem Ende ihrer Gültigkeit und müssen durch neue ersetzt werden, damit Secure Boot weiterhin funktioniert und Sicherheitskorrekturen am Windows-Boot-Manager und an Secure Boot wirksam bleiben. Der Kern des Problems: Das Schutzverfahren des Betriebssystems für diese Zertifikatsaktualisierung stützt sich auf Firmware-Komponenten, die fehlerbehaftet sein können. Dadurch kann die Aktualisierung der Vertrauensstellung fehlschlagen oder sich unvorhersehbar verhalten. Im Ergebnis droht eine Störung der Vertrauenskette von Secure Boot, sodass der Startschutz seine beabsichtigte Sicherheitswirkung verliert. Die Umstellung erfordert daher sorgfältige Prüfung und kontrollierte Verteilung.