- Microsoft'un 2011 yılından itibaren kullandığı Güvenli Önyükleme sertifikalarının süresi 24 Haziran tarihinde dolmaya başlıyor.
- Güncellemeyi alamayan cihazlar normal çalışmaya devam etse de önyükleme düzeyindeki yeni güvenlik yamalarından yararlanamayacak.
- Eski donanıma sahip kullanıcıların sistemlerini güvende tutmak için OEM donanım yazılımı güncellemelerini mutlaka kontrol etmeleri tavsiye ediliyor.
Microsoft’un uzun yıllardır kullandığı Windows Güvenli Önyükleme (Secure Boot) sertifikalarının kullanım ömrü dolmaya başlıyor. Güncellemeyi almayan cihazlar, gelecekteki önyükleme düzeyi güvenlik yamalarından mahrum kalacak.
Notebookcheck’in haberine göre, çoğu Windows bilgisayarın önyükleme güvenliğini sağlayan 2011 dönemine ait Güvenli Önyükleme (Secure Boot) sertifikalarının süresi 24 Haziran itibarıyla sona ermiş olacak. Desteklenen sürümlerdeki Windows 11 kullanıcıları otomatik olarak güncelleniyor. Eski donanıma sahip ve desteklenmeyen Windows 10 cihazlar ise ilgili süreci daha zorlu bir şekilde geçirecek gibi görünüyor.
Güncellenmeyen cihazlar boot düzeyindeki tehditlere açık hale gelebilir
Microsoft tarafından paylaşılan destek makalesine göre, süresi dolan sertifikalara sahip cihazlar normal şekilde çalışmaya ve standart Windows güncellemelerini almaya devam edecek. Bu tarihten sonra bilgisayarlar yeni Güvenli Önyükleme veritabanı güncellemelerini alamayacak. Ayrıca sertifika iptal listeleri ve yeni keşfedilen önyükleme katmanı güvenlik açıklarına yönelik yamalar da kullanıcılara ulaşmayacak.
BlackLotus gibi önyükleme düzeyi istismarları özellikle bahsi geçen katmanı hedef alıyor. Güncel sertifikalara sahip olmayan bir bilgisayarın, donanım yazılımı düzeyindeki gelecekteki tehditlere karşı herhangi bir koruma yolu bulunmuyor.
Üç farklı sertifikanın kullanım ömrü sona eriyor. Microsoft Corporation KEK CA 2011 sertifikasının süresi 24 Haziran’da, Microsoft UEFI CA 2011 sertifikasının süresi 27 Haziran’da dolacak. Doğrudan Windows önyükleyicisini imzalayan Microsoft Windows Production PCA 2011 sertifikasının tarihi ise 19 Ekim olarak açıklandı. Bu son tarih, uzun vadeli önyükleme bütünlüğü açısından en kritik aşama olarak görülüyor.
Bazı eski donanımlar güncellemeyi alamayabilir
Microsoft, Ocak ayından itibaren Windows Update aracılığıyla 2023 yedek sertifikalarını kullanıma sunmaya başladı. KB5089549 dahil olmak üzere her aylık güncellemeyle beraber dağıtım süreci hızlandırıldı.
Kullanıcılar cihazlarının durumunu kontrol etmek için Windows Güvenliği üzerinden Cihaz Güvenliği sekmesine girerek Güvenli Önyükleme bölümünü inceleyebilir. KB5062710 numaralı Microsoft destek makalesi, sürenin dolmasının ne anlama geldiğini detaylandırıyor.
Uzatılmış Güvenlik Güncellemeleri programı dışındaki Windows 10 kullanıcıları yeni sertifikaları alamayacak.
Bazı eski sistemler, Windows sertifika dağıtımının yanı sıra eşleşen bir OEM donanım yazılımı güncellemesi gerektiriyor. Yeni sertifika zincirinin doğrudan UEFI donanım yazılımına sabitlenmesi zorunluluk taşıyor.
Donanım yazılımı güncellemeleri yayınlamayı durduran üreticilerin cihazları, Windows’un yüklediği sürümden bağımsız olarak 2011 sertifikalarında kalabilir. Şirket, güncel sistemi kullanan ancak 2023 sertifikalarını göremeyen kullanıcıların OEM destek birimleriyle iletişime geçmesini tavsiye ediyor.
