ニュース

ブータブルUSBメモリの作成ツール「Rufus」に脆弱性、中間者攻撃を受ける恐れ

アップデートの取得をHTTP接続で行っており、最悪、任意コードの実行を許す

“JVN”の脆弱性レポート(JVNVU#98866977)

 脆弱性ポータルサイト“JVN”は8月31日、OSをインストールするためのブータブルUSBメモリを作成するツール「Rufus」に更新の確認や更新データの取得がセキュアに行われない脆弱性が存在することを明らかにした。

 “JVN”の脆弱性レポート(JVNVU#98866977)によると、「Rufus」はアップデートの取得を暗号化されていないHTTP接続で行っているという。ダウンロードされたアップデートファイルは検証されるが、失敗してもユーザーは警告を無視してアップデートを実行できる。最悪の場合、中間者(man-in-the-middle)攻撃により、任意のコードを実行される可能性がある。

 現在のところ、本問題への対策は講じられていない。「Rufus」の更新機能は利用せず、アップデートが提供されたら手動で公式サイトから最新版をダウンロードし、インストールするといった回避策を実施する必要がある。