ブータブルUSBメモリ作成ツール「Rufus」v2.17、指摘されていた脆弱性への対策を追加

「Rufus」v2.17

「Rufus」の自動更新機能

　ブータブルUSBメモリの作成ツール「Rufus」の最新版v2.17が、12日に公開された。64bit版を含むWindows XP以降に対応しており、現在、本ソフトの公式サイトや窓の杜ライブラリからダウンロードできる。

　本バージョンでは、アップデートのダウンロードチェックが強化された。旧バージョンの「Rufus」には、更新がセキュアに行われず、ダウンロードの検証が失敗してもユーザーが警告を無視して不正なアップデートを適用できてしまう脆弱性が存在することが8月、脆弱性ポータルサイト“JVN”によって指摘されていたが、それに応えた格好だ。

　“JVN”は本脆弱性の回避策（ワークアラウンド）として、「Rufus」の自動更新機能を利用せず、公式サイトから最新版を入手してアップデートすることを推奨している。万全を期す場合は、これに従うことをお勧めする。

　また、今回のアップデートではアップデートチェックのHTTPS化までは行われておらず、対策はダウンロードされたアップデートファイルの検証処理の強化に留まっているようだ。依然、アップデートチェックの通信を改竄される恐れは排除できなので、今後の運用には留意したい。

　そのほかにも、本バージョンではUEFIモードで「Debian 9」のライブISOを利用する機能や、スーパーディスクのパーティショニングモードがサポートされた。また、不具合の修正もいくつか含まれている。