Rufus 4.12 dietro le quinte: sembra un update minore, ma non lo è affatto

Diventata un punto di riferimento imprescindibile per la creazione di supporti di avvio USB, Rufus è un’utilità leggera ma estremamente potente. Nata come strumento pratico per scrivere immagini ISO su chiavette USB, Rufus è progressivamente diventata una soluzione tecnica capace di interagire in profondità con i meccanismi di boot, partizionamento e inizializzazione dei sistemi moderni.

A dispetto di un’interfaccia complessivamente semplice, lo sviluppatore Pete Batard ha integrato in Rufus molteplici funzionalità di elevato profilo. Nel caso di Windows 11, ad esempio, il supporto d’installazione creato con Rufus non soltanto permette di installare il sistema operativo scavalcando tutti i requisiti hardware ma dà modo di aggiornare da Windows 10 a Windows 11 senza perdere né i dati né i programmi. Nell’articolo abbiamo spiegato il trucco che ha usato Batard per rendere possibile un aggiornamento in-place a Windows 11.

In un altro approfondimento, abbiamo presentato il trucco segreto per creare una chiavetta universale con Rufus, utilizzabile per il boot sia su sistemi UEFI che su macchine dotate di BIOS legacy.

Rufus: uno strumento essenziale per il boot e l’installazione nei sistemi moderni

Il successo di Rufus non deriva solo dalla velocità di esecuzione o dalla semplicità dell’interfaccia, ma soprattutto dalla capacità di adattarsi alle trasformazioni applicate da Microsoft su Windows.

Con l’introduzione di UEFI, Secure Boot, TPM e requisiti hardware sempre più restrittivi, Rufus ha saputo colmare il divario tra le politiche imposte dal sistema operativo e le esigenze reali di amministratori, tecnici e utenti avanzati.

Così Rufus è diventato uno strumento spesso utilizzato non solo per installare Windows o distribuzioni Linux, ma anche per analizzare, aggirare o comprendere i vincoli tecnici introdotti dalle piattaforme più recenti.

Dal punto di vista architetturale, Rufus opera a basso livello sullo storage, gestendo schemi di partizionamento complessi, bootloader UEFI e legacy, file system differenti e immagini di installazione non sempre conformi agli standard. La natura “invasiva” di Rufus ne fa uno strumento delicato, che richiede continui aggiornamenti per restare compatibile con firmware, policy di sicurezza e nuove tipologie di dispositivi.

Per questi motivi ogni nuova versione di Rufus non è una semplice iterazione funzionale, ma un adattamento tecnico a un contesto in costante evoluzione, dove il processo di avvio è diventato una componente critica della sicurezza del sistema.

Compatibilità con i volumi Dev Drive

Batard parla di assenza di “nuove funzionalità” nel caso di Rufus 4.12, adesso disponibile in versione beta. In realtà, il focus non è in questo caso l’aggiunta di opzioni visibili all’utente finale, ma la correzione di ambiguità strutturali che negli ultimi anni si sono accumulate a causa dell’evoluzione dell’ecosistema Windows, dei nuovi formati di storage e delle crescenti superfici di attacco.

Uno degli aspetti più interessanti, e al tempo stesso meno immediati, è il miglioramento nel rilevamento dei Microsoft Dev Drive. I Dev Drive non sono semplici volumi NTFS: utilizzano policy di sicurezza e ottimizzazioni specifiche (file system ReFS con modalità performance, integrazione con strumenti di sviluppo e altro ancora).

Il fatto che Rufus abbia dovuto “imparare” a riconoscere i Dev Drive indica che i meccanismi di enumerazione dei dischi di Windows stanno diventando sempre più complessi e meno standardizzati. In termini pratici, una cattiva identificazione di questi volumi può portare a errori di formattazione o, peggio, alla distruzione di ambienti di sviluppo ottimizzati, cosa che in contesti enterprise o DevOps ha un impatto diretto sulla produttività.

Miglioramento del supporto SSD NVMe

Un discorso analogo vale per il rilevamento delle unità di memorizzazione con hardware ID molto lunghi, tipicamente SSD NVMe moderni.

Rufus fa affidamento sugli identificativi hardware per distinguere tra dispositivi fisici, VHD, chiavette USB e dischi virtualizzati. Con l’aumento della complessità delle stringhe identificative (soprattutto in ambienti UEFI avanzati), si rischiano collisioni logiche o troncamenti che compromettono l’affidabilità dell’operazione di flashing.

L’intervento introdotto in Rufus 4.12 permette di adattare la logica interna dell’applicazione a un mondo in cui lo storage non è più “semplice” come una volta.

Pulizia delle partizioni: passaggio critico che Rufus migliora

Molto meno evidente, ma tecnicamente rilevante, è il miglioramento del codice di Rufus responsabile della pulizia delle partizioni prima della formattazione.

Si tratta di una fase critica perché determina se una chiavetta viene realmente azzerata o se restano residui di schemi di partizionamento GPT, MBR o metadati precedenti. La catena di avvio, infatti, si è fatta sempre più rigida, principalmente per via di Secure Boot e UEFI DB/DBX: lasciare strutture inconsistenti nelle unità può causare problemi di boot difficili da diagnosticare.

Rufus 4.12 risolve anche un problema di sicurezza: ecco qual è

Sul fronte sicurezza, Rufus risolve la vulnerabilità nota con l’acronimo TOCTOU (Time Of Check To Time Of Use). Essa riguarda l’esecuzione dello script Fido, ossia quello che permette di scaricare Windows 10 e Windows 11 dai server Microsoft in un colpo solo.

La vulnerabilità CVE-2026-2398 riguarda una condizione molto specifica che ha a che fare con le modalità con cui Rufus gestisce ed esegue lo script PowerShell di Fido sul sistema locale. Tale script viene salvato nella cartella %TEMP% di Windows, con un percorso prevedibile basato su GUID.

Il file temporaneo è creato senza impostare esplicitamente un descrittore di sicurezza protetto, quindi eredita i permessi predefiniti della directory %TEMP% (che è scrivibile da utenti sprovvisti di privilegi).

Tra la fase in cui il file viene scritto e quella in cui viene eseguito, esiste una finestra di opportunità per un attaccante locale: un utente senza privilegi potrebbe sostituire lo script legittimo con uno malevolo prima dell’esecuzione. Questa particolare race condition consente a un attaccante locale di ottenere esecuzione arbitraria di codice con i privilegi di amministratore, sfruttando il fatto che Rufus opera con privilegi elevati durante alcune operazioni critiche.

Le altre modifiche inserite nella nuova release

Lo sviluppatore di Rufus è intervento, nella nuova release, anche per modificare la gestione di diskcopy.dll e oscdimg.exe: il primo, poco conosciuto, era parte integrante di Windows fino all’era Windows 10 e permette di creare un supporto di avvio MS-DOS (!). Sì, anche nel 2026.

Ancora più “silenziosi”, ma non meno significativi, sono i miglioramenti nel reporting degli errori di estrazione ISO e nel rilevamento dei processi in conflitto.

Infine, l’aggiornamento di UEFI:NTFS (avvio al boot di supporti basati su file system NTFS) e dei DBX UEFI (lista nera del Secure Boot, contiene certificati, hash e firme digitali revocate che non devono più essere considerati attendibili) è un segnale chiaro dell’allineamento continuo di Rufus alle politiche di revoca del Secure Boot.

È un aspetto spesso ignorato dagli utenti, ma è cruciale: un bootloader non aggiornato può essere bloccato da firmware recenti, rendendo inutilizzabile una chiavetta perfettamente funzionante.