無料のブータブルUSB作成ツール「Rufus」に脆弱性、管理者権限で任意コード実行のおそれ

無料のブータブルUSB作成ツール「Rufus」に脆弱性

　ブータブルUSBドライブを簡単に作成できるツール「Rufus」で1月23日（日本時間）、ローカル権限昇格の脆弱性「CVE-2026-23988」が報告された。深刻度の評価は、CVSSの基本値で「7.3」（High）。すべてのバージョンに影響する。

　本脆弱性は「TOCTOU」（Time-of-check to time-of-use）競合にカテゴライズされるセキュリティ欠陥。「Rufus」は「Fido」と呼ばれるPowerShellスクリプトでWindowsのISOイメージファイルをダウンロードすることができるが、その際、管理者権限で一時フォルダーへスクリプトを作成する。しかし、「Rufus」は適切にそのスクリプトファイルをロックしないため、一般ユーザーでも書き換えや置き換えが可能。もし悪意あるアプリが一時フォルダーを監視できる状態になるならば、それが仮に標準ユーザーの権限しか持っていなくても、スクリプトを書き換えて任意のコードを管理者権限で実行できる可能性がある。最悪の場合、システムが乗っ取られる。

　本脆弱性は、ベータ版の「Rufus 4.12」で修正済み。ベータテストで大きな問題がなければ、まもなく正式版として展開される見込みだ。正式版がリリースされたら、できるだけ早いアップデートをお勧めする。

　「Rufus」は、OSのISOイメージファイルをUSBドライブへ書き込んでインストールメディアを作成するツール。Windows以外にも、各種LinuxディストリビューションやBSD系OS、DOSなど、幅広いOSをサポートしている。「GitHub」でオープンソースとして開発されており、ライセンスは「GPL-3.0」。現在、本ソフトの公式サイトや窓の杜ライブラリからダウンロードできるほか、「Microsoft Store」から入手することもできる。