Chapuzas

Las unidades sospechosas pertenecen a 19 modelos diferentes de las series TZ fabricados entre mayo de 2007 y julio de 2008, que fueron vendidos en Japón (67.000 unidades) y en otros 48 países (373.000).

Al parecer algunos cables están demasiado cerca de las bisagras, a la vez que un fallo en un circuito puede inducir sobrecalentamiento y riesgos de quemaduras para los usuarios.

Sony pide que las unidades sospechosas sean sometidas a revisión. La empresa ha recibido 209 informes de sobrecalentamiento, incluyendo 7 de usuarios que resultaron con quemaduras leves...

En septiembre de 2006 alguien en Debian decidió suprimir una línea de código molesta en el fichero md_rand.c de OpenSSL:

	MD_Update(&m,buf,j);
	[ .. ]
	MD_Update(&m,buf,j); /* purify complains */

La decisión se tomó para suprimir los avisos sobre datos no inicializados que lanzaban herramientas de depuración de código como Valgrind y Purify.

La medida fue efectiva; desde luego desaparecieron los errores, pero -y aquí viene el problema- también desapareció la correcta siembra del generador pseudoaleatorio necesaria para producir claves de calidad, es decir, claves no predecibles. La siembra correcta requería hasta ese momento una mezcla de datos aleatorios, pero quedó de pronto reducida a la escasa aleatoriedad aportada por el identificador del proceso, que en Linux sólo puede llegar hasta el número 32.768. En consecuencia el espacio de claves se vio repentinamente reducido, de los previstos 2^1024 a 2^15, es decir, tan sólo 32.768 posibles claves...

Actualización (19-Marzo): El formulario vulnerable ha sido retirado.

Un fallo de programación Web de principiantes permite a cualquiera descargarse los formularios de inscripción conteniendo los datos de registro de miles de votantes de Pensilvania. Para ello basta escribir un número cualquiera perteneciente a cierto rango tras el campo ID de la URL.

Al parecer el problema radica en el script ASP que genera PDFs listos para imprimir a partir de los datos introducidos en un formulario.

Además, revisando el código fuente de esa página veo determinadas validaciones confiadas a Javascript que tampoco auguran nada bueno.

Un sitio web particular, dedicado a promocionar una pequeña ciudad, ha sido finalmente desconectado por su responsable a "sugerencia" de altos mandos militares, tras recibir por error miles de correos electrónicos destinados en realidad a una base cercana de la fuerza aérea estadounidense, algunos de ellos conteniendo secretos militares que pondrían los dientes largos a cualquier terrorista, como -por ejemplo- los planes detalllados de próximos itinerarios del avión presidencial Air Force One.

El problema se viene produciendo desde hace siete años, sin que nadie en la base haya adoptado hasta ahora medidas al respecto y radica en que la base militar utiliza el dominio mildenhall.af.mil, mientras que muchos de quienes les envían mensajes los dirigen por error a mildenhall.com, que hospeda un sitio web dedicado a promocionar la pequeña ciudad de Mildenhall.

El responsable de Mildenhall.com comunicó de nuevo a la base que continuaba recibiendo mensajes altamente secretos enviados desde diversas partes del mundo, lo que acabó motivando la amable visita de responsables de la Oficina de Investigaciones Especiales de la Fuerza Aérea, quienes le rogaron que destruyera todos los mensajes confidenciales que hubiera recibido y desconectara su sitio cuanto antes para impedir más equívocos...

Actualización (5-Marzo): Según afirma hoy The Register, la chapuza se extiende a otros productos de la casa, en concreto -y de momento- Microsoft SQL Server 2008 y Windows Small Business Server. En el caso de Windows Mobile 2003, un lector afirma que tras el 29 de febrero su iPAQ saltó al 1 de marzo de 2035.

El equipo de Microsoft Exchange ha confirmado que cualquiera que reiniciara el servicio System Attendant de Exchange 2007, o tratara de instalar el programa entre las 12:00 AM del pasado viernes y las 12:00 AM del pasado sábado (ambos UTC, no habrá podido crear ni habilitar buzones de correo.

La "explicación" es sencilla: Exchange 2007 desconoce que 2008 es un año bisiesto, y por tanto no aceptaba el 29 de febrero de 2008 como fecha válida.

Microsoft asegura estar preparando un parche, pero en realidad no hay mucha prisa porque ahora disponen de cuatro años para hacerlo...