Chapuzas

Actualización (19-Marzo): El formulario vulnerable ha sido retirado.

Un fallo de programación Web de principiantes permite a cualquiera descargarse los formularios de inscripción conteniendo los datos de registro de miles de votantes de Pensilvania. Para ello basta escribir un número cualquiera perteneciente a cierto rango tras el campo ID de la URL.

Al parecer el problema radica en el script ASP que genera PDFs listos para imprimir a partir de los datos introducidos en un formulario.

Además, revisando el código fuente de esa página veo determinadas validaciones confiadas a Javascript que tampoco auguran nada bueno.

Un sitio web particular, dedicado a promocionar una pequeña ciudad, ha sido finalmente desconectado por su responsable a "sugerencia" de altos mandos militares, tras recibir por error miles de correos electrónicos destinados en realidad a una base cercana de la fuerza aérea estadounidense, algunos de ellos conteniendo secretos militares que pondrían los dientes largos a cualquier terrorista, como -por ejemplo- los planes detalllados de próximos itinerarios del avión presidencial Air Force One.

El problema se viene produciendo desde hace siete años, sin que nadie en la base haya adoptado hasta ahora medidas al respecto y radica en que la base militar utiliza el dominio mildenhall.af.mil, mientras que muchos de quienes les envían mensajes los dirigen por error a mildenhall.com, que hospeda un sitio web dedicado a promocionar la pequeña ciudad de Mildenhall.

El responsable de Mildenhall.com comunicó de nuevo a la base que continuaba recibiendo mensajes altamente secretos enviados desde diversas partes del mundo, lo que acabó motivando la amable visita de responsables de la Oficina de Investigaciones Especiales de la Fuerza Aérea, quienes le rogaron que destruyera todos los mensajes confidenciales que hubiera recibido y desconectara su sitio cuanto antes para impedir más equívocos...

Actualización (5-Marzo): Según afirma hoy The Register, la chapuza se extiende a otros productos de la casa, en concreto -y de momento- Microsoft SQL Server 2008 y Windows Small Business Server. En el caso de Windows Mobile 2003, un lector afirma que tras el 29 de febrero su iPAQ saltó al 1 de marzo de 2035.

El equipo de Microsoft Exchange ha confirmado que cualquiera que reiniciara el servicio System Attendant de Exchange 2007, o tratara de instalar el programa entre las 12:00 AM del pasado viernes y las 12:00 AM del pasado sábado (ambos UTC, no habrá podido crear ni habilitar buzones de correo.

La "explicación" es sencilla: Exchange 2007 desconoce que 2008 es un año bisiesto, y por tanto no aceptaba el 29 de febrero de 2008 como fecha válida.

Microsoft asegura estar preparando un parche, pero en realidad no hay mucha prisa porque ahora disponen de cuatro años para hacerlo...

Un diario califica como "pirata de Internet" a un ciudadano que tras descargar una película en el eMule descubre que es falsa y que muestra en realidad la violación de una niña.

El peligroso "pirata" no se limitó a borrar el "fake", vomitar y olvidar el mal trago, sino que además grabó un CD y lo entregó a la policía, que a partir de esa denuncia investigó a 26 personas que habían descargado y guardado la filmación, para dos de los cuales el juez habría dictado prisión provisional ante la abundancia de material pornográfico infantil que almacenaban, según afirma el mismo periódico.

[Noticia elaborada por Kriptópolis a partir de la información remitida por trobador, quien cita como referencia a Voliac].

Un buen trabajo de C't Magazine acaba de dejar en evidencia a toda una gama de discos USB que proclaman utilizar cifrado AES para proteger los datos y a la hora de la verdad se conforman con hacer un simple XOR de los mismos contra un bloque-clave fijo.

Las promesas marquetineras de cifrado AES parece que en el mejor de lo casos se limitan al almacenamiento en la memoria flash del controlador del propio identificador RFID.

Presuntamente afectados todos los discos basados en el chip IM7206 de Inmmax Corporation.