Xeroxは5月12日(米国時間)、「(PDF) Xerox Security Bulletin XRX25-009」において、同社のFreeFlow Print Server v2/Windows 10に影響する脆弱性を修正した2025年4月のセキュリティパッチアップデートを発表した。

このアップデートは四半期ごとに提供されており、サポート対象のプリンタ製品に搭載されたソフトウェア全体を修正する。今回公開されたアップデートにはWindows 10および関連コンポーネントのセキュリティパッチに加え、OpenJDK Java 8、Firefox、Apache HTTP Server、Apache Tomcat、OpenSSL、OpenSSHのアップデートも含まれており、合計50件の脆弱性が修正されている。

  • Xerox Security Bulletin XRX25-009

    Xerox Security Bulletin XRX25-009

修正後のソフトウェアバージョン

2025年4月のセキュリティパッチアップデート適用後の製品およびバージョンは次のとおり。

  • Windows 10 - 4月のセキュリティ更新プログラム適用後に相当
  • OpenJDK Java 8 Update 452-b08
  • Firefox 137.0.2
  • Apache HTTP Server 2.4.63
  • Apache Tomcat 6.0.45
  • OpenSSL 3.4.0
  • OpenSSH 9.9p1

脆弱性の情報

Windows 10の修正された脆弱性のうち、すでに悪用が確認されているものは次のとおり。

  • CVE-2025-29824 - Windows Common Log File System Driverに解放後使用(UAF: use-after-free)の脆弱性。認証された攻撃者は特権昇格の可能性がある(CVSSスコア: 7.8)

Windows 10の修正された脆弱性のうち、Microsoftが深刻度を緊急(Critical)と評価している脆弱性は次のとおり。

  • CVE-2025-27491 - Windows Hyper-Vに解放後使用の脆弱性。認証されたリモートの攻撃者はコードを実行できる可能性がある(CVSSスコア: 7.1)
  • CVE-2025-26663CVE-2025-26670 - Windows LDAPに解放後使用の脆弱性。認証されていないリモートの攻撃者はコードを実行できる可能性がある(CVSSスコア: 8.1)
  • CVE-2025-26686 - Windows TCP/IPに不適切な機密データ保存の脆弱性。認証されていないリモートの攻撃者はコードを実行できる可能性がある(CVSSスコア: 7.5)

既知の不具合

アップデート適用後に発生する既知の不具合は次のとおり。

  • 弱い暗号アルゴリズムを使用している場合、カラー印刷機へのSFTP接続が失敗する。接続を成功させるには「SHA2 hash and AES 512-bit stream encryption(原文ママ)」をサポートする必要がある
  • セキュリティプロファイルを「高」に設定しても、周辺機器(DVD、USBメモリなど)へのアクセスが制限されない

対策

Xeroxは影響を受ける製品の管理者に対し、FreeFlow Print Serverアップデートマネージャー、Windows Update、またはUSB/DVDメディアからのアップデートを推奨している。USB/DVDメディアを使用する場合はXeroxサービスに問い合わせる必要があり、サポート対応を必要としない管理者はオンライン方式のアップデートが望ましいとしている。

しかしながら、Microsoftから直接セキュリティパッチをインストールする方式のWindows Updateはリスクが伴うとして推奨していない。不具合が発生する場合に備え、事前にシステムのバックアップとWindows復元ポイントを手動で作成することを推奨している。