Im Mittelpunkt von KB5094127 stehen die Sicherheitskorrekturen aus dem Juni-Patch-Tuesday. Nach Angaben von Microsoft enthält das Update die Fixes für insgesamt 200 Schwachstellen, darunter drei öffentlich bekannt gewordene Zero-Day-Lücken. Für berechtigte Systeme wird das Paket wie ein reguläres Update verteilt: über Einstellungen, Windows Update und eine manuelle Suche nach Aktualisierungen.

Mit der Installation werden die Build-Stände angehoben. Windows 10 erreicht danach Build 19045.7417, Windows 10 Enterprise LTSC 2021 Build 19044.7417. Microsoft stellt zugleich klar, dass Windows 10 keine neuen Funktionen mehr erhält und das Update daher primär Sicherheits- und Qualitätsverbesserungen bündelt.

Zu den Änderungen gehört eine Überarbeitung der Suche im Datei-Explorer. Microsoft zufolge verbessert das Update die Suche unter anderem bei chinesischem Text sowie bei UTF-8-kodierten Dateien ohne Byte-Order-Markierung. Außerdem soll Text in Suchergebnissen, der Inhaltsansicht und in Tooltips klarer und konsistenter dargestellt werden.

Ein weiterer Schwerpunkt ist Secure Boot. Das Update aktiviert eine dynamische Statusanzeige für Secure-Boot-Zustände in der Windows-Sicherheits-App. Zudem ergänzt Microsoft eine neue Richtlinieneinstellung mit dem Namen LimitSecureBootRequiredServiceData unter Computerkonfiguration > Administrative Vorlagen > Windows-Komponenten > Secure Boot. Ist diese Richtlinie aktiviert, beschränkt Windows laut Microsoft die an Microsoft gesendeten Secure-Boot-Servicedaten, indem ein sonst üblicherweise übertragenes Ereignis unterdrückt wird. Die Richtlinie ist auch im Paket Windows Restricted Traffic Limited Functionality Baseline enthalten.

Darüber hinaus erweitert Microsoft mit KB5094127 die Zielsteuerungsdaten für Qualitätsupdates. Diese zusätzlichen Daten mit hoher Vertrauenswürdigkeit sollen die Abdeckung von Geräten erhöhen, die automatisch neue Secure-Boot-Zertifikate erhalten können. Laut Microsoft bekommen Geräte die neuen Zertifikate jedoch erst dann, wenn ausreichend erfolgreiche Update-Signale vorliegen. Damit solle die Auslieferung kontrolliert und stufenweise erfolgen.

Parallel weist Microsoft auf ein bekanntes Problem hin. Nach der Installation jüngerer Updates kann es auf manchen Windows-Systemen zu BitLocker-Wiederherstellungsabfragen kommen. Nach Angaben des Unternehmens betrifft das Problem vor allem Geräte mit einer bestimmten BitLocker-Gruppenrichtlinie, die PCR7 ausdrücklich im TPM-Validierungsprofil einbezieht, sowie bestimmte Secure-Boot- und Windows-Boot-Manager-Konfigurationen im Zusammenhang mit dem neueren Zertifikat Windows UEFI CA 2023.

Als vorläufige Umgehungslösung empfiehlt Microsoft, die entsprechende Gruppenrichtlinie zu entfernen und BitLocker anschließend auszusetzen und wieder zu aktivieren. Dadurch werden die Standard-PCR-Bindungen neu erzeugt, während Microsoft nach eigenen Angaben an einer dauerhaften Korrektur arbeitet.