Windows: Juni-Updates legen Surface Hub v1 und PCs von Fujitsu lahm

Nach dem Aufspielen der Juni-Updates kommen diverse PCs des Herstellers Fujitsu beim Start nicht mehr über dessen Firmenlogo hinaus und auch Microsofts eigener Surface Hub v1 bleibt mit einem Secure-Boot-Fehler hängen. Für den Surface Hub v1 wurde die Auslieferung des Updates inzwischen gestoppt, so dass sich noch nicht aktualisierte Geräte erst im Oktober 2025 in Elektroschrott verwandeln werden. Bei den Fujitsu-PCs muss man vorerst selbst Hand anlegen.

DBX-Sperrliste als Auslöser
Der Auslöser der Startprobleme ist vermutlich eine Ausweitung der Secure Boot DBX-Widerrufsliste, mit der Microsoft eine Möglichkeit zur Umgehung des Secure Boot (CVE-2025-3052) entschärfen wollte. CVE-2025-3052 bezieht sich auf mehrere Fehler in der UEFI-Firmware InsydeH2O von Insyde Software, welche von diversen PC-Herstellern, darunter Fujitsu, Microsoft, Intel, HP, HPE und Dell, eingesetzt wird. Diese ermöglichen die Installation eine manipulierten UEFI-Firmware, mit der sich Schadcode fest im System verankern und Secure Boot als Sicherheitsmechanismus umgehen lässt.

Microsoft Surface Hub v1
Nach dem Einspielen der Juni-Updates bleibt der im Jahr 2015 vorgestellte Surface Hub v1 beim Start hängen und meldet Secure Boot Violation: Invalid signature detected. Der Grund hierfür liegt auf der Hand: Im Gegensatz zu seinen Nachfolgern hatte das auf Windows 10 basierte Großbildgerät für Videokonferenzen vorab kein passendes UEFI-Update bekommen. Vermutlich hatte Microsoft die Geräte bereits abgehakt, schließlich werden sie am 14. Oktober 2025 aus dem Support fallen. Wie auf der englischsprachigen EOL-Informationsseite seit Ende Mai 2025 zu lesen ist, betrifft dies nicht nur Firmware-Updates und das Betriebssystem, sondern auch die Teams-App. Damit verwandelt sich der Surface Hub v1 in Elektroschrott mit Bilddiagonalen von 55 bzw. 84 Zoll. Oder man legt den integrierten PC lahm und setzt die Geräte als normale Bildschirme ein. Das kann man natürlich auch mit einem Surface Hub v1 machen, der nun nicht mehr starten will. Microsoft sucht noch nach anderen Lösungen.

Fujitsu Esprimo PCs und Mainboards
Das Problem mit PCs und Hauptplatinen von Fujitsu wurde seitens Microsoft noch nicht offiziell bestätigt. Es ist daher zu befürchten, dass das problematische Update an diese weiterhin ausgeliefert wird. Nach dem Neustart zeigen die betroffenen Computer beim Start nur noch das Fujitsu-Logo an, man gelangt weder in das UEFI noch ins Betriebssystem. Gunnar Haslinger hat diesen Fehler genauer untersucht und erklärt in seiner Anleitung, wie man auf betroffenen Hauptplatinen den Recovery-Jumper findet, den Recovery-Modus aktiviert und mit Hilfe eines USB-Sticks ein funktionsfähiges UEFI aufspielt. Das Mainboard Fujitsu D3410-B, welches Haslinger einsetzt, stammt aus dem Jahr 2015.

Die ebenfalls betroffenen Hauptplatinen D3400-A1, D3402-A11 und D3441-S1 sowie die PCs Esprimo P556, Esprimo P956, Esprimo Q956 und Esprimo X956/T datieren auf 2016. Für keines der genannten Produkte ist ein aktuelles UEFI-Update verfügbar. Haslinger vermutet, dass die von 8 auf 24 KiB angewachsene Datei dbxupdate.bin das UEFI abstürzen lässt, so dass kein Secure-Boot-Problem gemeldet werden kann. Das Aufspielen eines lauffähigen UEFI ist natürlich nur die halbe Miete. Zusätzlich muss man zukünftige Secure-Boot-Updates so lange unterbinden, bis Microsoft für Abhilfe gesorgt hat. Hierzu hat Haslinger in der Aufgabenplanung das Secure-Boot-Update deaktiviert sowie einen Eintrag in der Registrierungsdatei von Windows geändert. Auch dies wird in seiner Anleitung erklärt.