Un fallo de seguridad en un servicio online del Servicio Público de Empleo Estatal (SPEE) permitía acceder a datos privados de varios millones de ciudadanos españoles. Para explotarlo sólo era necesario conocer el número de DNI de la víctima.

El error no fue corregido a pesar de ser puesto de manifiesto en sede judicial. Tuvo que intervenir la Agencia Española de Protección de Datos para que, tras más de un año, subsanaran el fallo de seguridad.

El fallo de seguridad fue descubierto por Samuel Parra (webmaster de la web sobre seguridad www.samuelparra.com) de una manera relativamente sencilla: el usuario de acceso al sistema era el DNI de la persona y la contraseña era la fecha de alta en el sistema, por lo que con un programa sencillo se podría acceder a cualquier cuenta. Éste se puso en contacto con el SPEE informándoles del error.

Más información sobre esta noticia en: http://www.samuelparra.com/2010/03/07/fallo-seguridad-compromete-datos-millones-espanoles-spee/

nerion ha publicado un parche para solucionar un error grave de seguridad en Internet Explorer

Microsoft ha sufrido durante la última semana uno de los peores escenarios conocidos para una vulnerabilidad: es crítica y ha sido descubierta mientras estaba siendo aprovechada por atacantes. Esto implica que todo usuario de Internet Explorer (donde reside el problema) ha estado más o menos expuesto a ejecución de código arbitrario.

El problema de esta vulnerabilidad, que afecta a todas las versiones de Internet Explorer es que no existía parche oficial disponible, no necesitaba interacción por parte del usuario y permitía ejecución de código arbitrario con los permisos del usuario usando el navegador. La vulnerabilidad reside en el manejo de etiquetas XML. Se observó que el fallo estaba siendo activamente aprovechado por webs desde hacía tiempo para instalar malware. Microsoft se apresuró a reconocer el fallo y publicar un buen número de métodos para mitigar el problema.

La compañía ya ha puesto a disposición de los usuarios una actualización de los navegadores con un parche que se descarga de manera automática, y recomienda que efectúen la actualización lo antes posible.

La rápida respuesta de Microsoft responde al intento de no perder cuota de mercado, ya que los expertos recomendaban dejar de utilizar Explorer hasta que el problema fuera solucionado.