Den nyligen upptäckta DNS-säkerhetsbristen kan vara mycket värre än man tidigare trott, och erbjuder angripare 35 sätt att utnyttja cacheförgiftning, enligt säkerhetsforskaren som hittade den.
När han talade på Black Hat-hackerkonferensen i Las Vegas, betonade Dan Kaminsky hur felet kan användas för att omdirigera användare till skadliga webbplatser, samt för att avlyssna eller redigera e-post.
Kaminsky gick igenom ett annat scenario där en webbplats kunde luras att skicka ett användarnamn och lösenord till ett e-postkonto som kontrolleras av en illvillig angripare, med hjälp av en påminnelse om glömt lösenord.
Dessa attacker är alla möjliga av bristen, som gör att angripare kan förgifta DNS-cacher och omdirigera användare till skadliga tredjepartswebbplatser, även när de har angett korrekt adress till en annan, legitim webbplats.
Eftersom attacken riktar sig mot en grundläggande tjänst som driver internet finns det flera sätt att den kan användas för skändliga syften; 35 vid Kaminskys räkning.
De säkerhetssårbarhet upptäcktes först för över sex månader sedan, men Kaminsky avslöjade inga detaljer om det för att tillåta ett aldrig tidigare skådat samarbete mellan Microsoft, Sun och Cisco för att utveckla en fix.
Trots att det först nyligen tillkännagavs tyder rapporter på att felet redan används. AT&T har meddelat att de upptäckt ett försök att omdirigera användare som kommer åt www.google.com till en tredjepartswebbplats med annonser.
