Zum Hauptinhalt springen
S-EDV news
Schönfelder EDV
← Alle News
Sicherheit & Datenschutz 12.06.2026 · 3 min Lesezeit

Windows 10 KB5094127: Microsoft veröffentlicht Extended Security Update für End-of-Life-Systeme

Microsoft hat am 9. Juni 2026 das Extended Security Update KB5094127 für Windows 10 veröffentlicht. Da Windows 10 seit Oktober 2025 End-of-Life ist, erhalten nur noch Organisationen mit ESU-Lizenz diese Sicherheitsfixes – ohne Patch droht ein erhebliches Angriffsrisiko.

MS
Marcel Schönfelder
IT-Freelancer & Inhaber
Microsoft veröffentlicht Extended Security Update

Microsoft hat am 9. Juni 2026 – parallel zum regulären Juni-Patchday – das Extended Security Update (ESU) KB5094127 für Windows 10 veröffentlicht. Da Windows 10 im Oktober 2025 sein offizielles End-of-Life erreicht hat, fließen sicherheitsrelevante Fixes seither nicht mehr automatisch an alle Nutzer. Organisationen, die noch einen erheblichen Windows-10-Anteil betreiben und eine ESU-Lizenz erworben haben, erhalten mit diesem Update Schutz vor Schwachstellen aus dem Juni-Patchday – einem Monat, in dem Microsoft insgesamt rund 200 CVEs geschlossen hat, darunter sechs aktiv ausgenutzte Zero-Days.

Was steckt hinter dem ESU-Programm?

Das Extended Security Update-Programm ist Microsofts kostenpflichtiges Sicherheitsnetz für Betriebssysteme nach dem Support-Ende. Für Windows 10 läuft das Programm maximal drei Jahre – also bis Oktober 2028. ESUs sind nicht im Standard-Supportvertrag enthalten; Organisationen müssen sich explizit registrieren und die entsprechenden Lizenzen erwerben. Alternativ können ESUs auch über Windows 365 beziehungsweise Azure Virtual Desktop bezogen werden, was für cloudbasierte Umgebungen eine vereinfachte Bereitstellung ermöglicht.

KB5094127 enthält Sicherheitsfixes aus dem Juni-Patchday für EOL-Windows-10-Systeme. Angesichts der sechs im Juni 2026 gepatchten Zero-Days sind diese Fixes für Systeme ohne ESU-Schutz besonders kritisch – sie erhalten diesen Patch schlicht nicht.

Bin ich betroffen?

Betroffen sind grundsätzlich alle Windows-10-Installationen – unabhängig von der Unterversion – die seit Oktober 2025 keinen regulären Microsoft-Support mehr erhalten. Konkret gilt:

  1. Systeme ohne ESU-Lizenz: Seit Oktober 2025 erhalten diese keinerlei Sicherheits-Patches mehr. KB5094127 wird nicht angeboten und kann nicht installiert werden.
  2. Systeme mit ESU-Lizenz: Das Update KB5094127 wird über Windows Update, WSUS oder den Microsoft Update Catalog bereitgestellt und sollte umgehend eingespielt werden.
  3. Systeme in Windows-365- oder Azure-Umgebungen: ESUs können hier ebenfalls über die entsprechenden Lizenzierungswege aktiviert werden.

Unternehmen können den aktuellen Patch-Status ihrer Windows-10-Systeme über WSUS, Microsoft Intune oder Drittanbieter-Tools zur Patch-Verwaltung prüfen. Einen Überblick über den Umgang mit Windows Updates in Unternehmensumgebungen bietet die s-edv.com-Anleitung Windows Updates mit WSUS und Update for Business verwalten.

Wie kann das Update eingespielt werden?

Für Organisationen mit aktiver ESU-Lizenz empfiehlt sich folgendes Vorgehen:

  1. ESU-Registrierung prüfen: Sicherstellen, dass alle betroffenen Windows-10-Systeme korrekt im ESU-Programm registriert sind und die Lizenzschlüssel aktiviert wurden.
  2. Windows Update oder WSUS: KB5094127 über die gewohnten Verteilungswege – Windows Update, WSUS oder Microsoft Endpoint Configuration Manager – bereitstellen und installieren.
  3. Microsoft Update Catalog: Das Update steht auch manuell im Microsoft Update Catalog zum Download bereit, sofern eine direkte Installation notwendig ist.
  4. Neustart einplanen: Nach der Installation ist ein Systemneustart erforderlich.

Für Systeme ohne ESU-Lizenz gibt es keinen regulären Weg, KB5094127 einzuspielen. Hier bleibt als einzige nachhaltige Lösung die Migration auf ein unterstütztes Betriebssystem.

Was bedeutet das für Unternehmen?

In vielen DACH-Unternehmen läuft noch ein relevanter Anteil von Windows-10-Systemen – aus Kompatibilitätsgründen, wegen Hardware-Anforderungen von Windows 11 oder schlicht aufgrund noch laufender Migrationsprojekte. Ohne ESU-Lizenz sind diese Systeme seit Oktober 2025 vollständig ungepatcht. Angesichts von rund 200 im Juni 2026 geschlossenen CVEs – darunter kritische Zero-Day-Lücken – wächst das Angriffspotenzial auf ungepatchte Windows-10-Systeme monatlich.

Die strategische Entscheidung, die Organisationen jetzt treffen müssen, lautet: ESU-Lizenzierung für den Übergangszeitraum oder beschleunigte Migration auf Windows 11. ESUs bieten Sicherheit für bis zu drei Jahre (bis Oktober 2028), sind jedoch mit Lizenzkosten verbunden. Die Alternative – ungepatchte Systeme im Produktivbetrieb – ist angesichts der aktuellen Bedrohungslage keine akzeptable Option. Ergänzend zur Patch-Strategie sollten Unternehmen auch ihre Kontoschutzmaßnahmen überprüfen; die Anleitung Zwei-Faktor-Authentifizierung und MFA im Unternehmen einführen liefert dazu konkrete Schritte.

Quellen

BleepingComputer: Microsoft releases Windows 10 KB5094127 extended security update | BleepingComputer: Microsoft June 2026 Patch Tuesday fixes 6 zero-days, 200 flaws | The Hacker News: Microsoft Patches Record 206 Flaws

Verwandt

Weiter lesen

Alle Artikel →
Gebrochenes Sicherheitsschild mit roten Warnsignalen – Symbol für den Microsoft Patchday Juni 2026
12.06.2026 ·4 min

Bitskrieg CVE-2026-50507: Zweite BitLocker-Bypass-Lücke im Juni-Patchday schließt TPM-Lücke

Der Juni-Patchday 2026 schließt mit CVE-2026-50507 (Bitskrieg) eine zweite BitLocker-Bypass-Schwachstelle – spezifisch für TPM-only-Systeme. Zusammen mit YellowKey (CVE-2026-45585) entstehen zwei Angriffspfade auf BitLocker. Betroffen: Windows 11 und Server 2022/2025.
Hero-Grafik zu GreenPlasma CVE-2026-45586: Windows-CTFMON-Lücke ermöglicht SYSTEM-Rechte und wird im Juni-Patchday geschlossen
12.06.2026 ·4 min

GreenPlasma CVE-2026-45586: Windows-CTFMON-Lücke ermöglicht SYSTEM-Rechte – Juni-Patchday

Microsoft hat mit dem Juni-2026-Patchday die Zero-Day-Lücke GreenPlasma (CVE-2026-45586) im Windows-CTFMON-Dienst geschlossen. Authentifizierte lokale Angreifer konnten damit SYSTEM-Rechte erlangen – ein gefährlicher Angriffsvektor vor allem für Ransomware-Akteure.
KI Agent entdeckt 21 Zero Day Schwachstellen in FFmpeg während Chrome 149 insgesamt 429 Sicherheitslücken schließt
12.06.2026 ·4 min

KI-Agent findet 21 Zero-Days in FFmpeg – Chrome 149 schließt Rekordzahl von 429 Lücken

Ein autonomer KI-Sicherheitsagent hat in FFmpeg 21 bestätigte Zero-Days aufgedeckt – teils seit 23 Jahren im Code. Zeitgleich patcht Google mit Chrome 149 eine Rekordzahl von 429 Schwachstellen, darunter ein kritischer Bug mit CVSS 9,6.