KB5094127 è l’aggiornamento cumulativo che arriva con il Patch Tuesday di giugno 2026 per Windows 10, e questa volta non si tratta della solita infornata di correzioni. Il pacchetto è destinato ai dispositivi iscritti al programma Extended Security Updates, oltre che a Windows 10 Enterprise LTSC 2021 e a Windows 10 IoT Enterprise LTSC 2021. Una platea ristretta, certo, ma per chi rientra in queste categorie c’è parecchia carne al fuoco, soprattutto sul fronte di Secure Boot.
Dopo l’installazione, il sistema passa alle build 19045.7417 o 19044.7417, a seconda dell’edizione in uso. Si può scaricare tramite Windows Update oppure recuperarlo a mano dal Microsoft Update Catalog. E come capita sempre con questi rilasci cumulativi, dentro ci sono anche tutte le correzioni accumulate nei mesi precedenti, quindi nessuna patch resta indietro.
Quasi 200 vulnerabilità chiuse in un colpo solo
Il cuore di questo rilascio è la sicurezza. KB5094127 porta con sé le correzioni del Patch Tuesday di giugno 2026, un appuntamento che stavolta affronta circa 200 vulnerabilità sparse tra Windows e altri prodotti dell’azienda. Non roba da poco, insomma.
Nel mucchio ci sono diverse falle critiche e qualche vulnerabilità zero-day già resa pubblica prima che la patch fosse disponibile. Tradotto: chi ancora lavora con Windows 10 in azienda farebbe bene a non rimandare l’installazione, perché parliamo di buchi che qualcuno potrebbe già conoscere e sfruttare.
Sul versante delle funzioni, invece, c’è qualche ritocco alla ricerca in Esplora file. Adesso il supporto si allarga ai testi in lingua cinese e ai file codificati in UTF-8 senza Byte Order Mark. L’azienda segnala anche risultati più stabili nelle viste dei contenuti e nei suggerimenti dell’interfaccia, piccole cose che però fanno la differenza nell’uso quotidiano.
Secure Boot, nuovi certificati e l’inghippo con BitLocker
La parte più interessante riguarda proprio Secure Boot. KB5094127 introduce un monitoraggio dinamico dello stato della funzione direttamente nell’app Sicurezza di Windows, e aggiunge il criterio di gruppo LimitSecureBootRequiredServiceData. Con quest’ultimo gli amministratori possono mettere un freno alle informazioni diagnostiche che vengono inviate ai servizi Microsoft.
Il pacchetto, poi, prepara il terreno per i nuovi certificati Secure Boot, quelli pensati per rimpiazzare i vecchi in scadenza. Il rollout avverrà in modo graduale, basandosi sui dati di affidabilità raccolti dai dispositivi stessi. C’è però un problema noto che potrebbe far storcere il naso a qualche reparto IT: i dispositivi protetti da BitLocker potrebbero richiedere la chiave di ripristino dopo l’installazione. Capita soprattutto sui sistemi che usano criteri di gruppo personalizzati con validazione TPM impostata per includere PCR7.
Come tampone provvisorio, l’azienda consiglia di togliere il criterio coinvolto e sospendere per un attimo BitLocker, così da permettere la rigenerazione delle associazioni PCR predefinite. Nel frattempo si lavora a una correzione vera e propria.
Windows 10 resta coperto, ma il tempo stringe
L’arrivo di KB5094127 conferma che Microsoft non ha ancora staccato la spina a Windows 10, almeno per i sistemi ancora coperti dal programma ESU. La direzione, però, è chiara: il grosso delle novità va su Windows 11, che continua a tirarsi addosso quasi tutte le nuove funzionalità.
Per chi tiene in piedi il vecchio sistema operativo in ambienti di produzione, gestire bene le patch diventa una faccenda sempre più delicata man mano che ci si avvicina alla fine del ciclo di vita. Lasciar passare un aggiornamento significa esporsi a vulnerabilità non chiuse e, sempre più spesso, a grattacapi di compatibilità con le infrastrutture di avvio protetto più recenti.