Sicherheitslücke in Mozilla Thunderbird entdeckt

Der beliebte E-Mail-Client Mozilla Thunderbird steht aktuell wegen einer brisanten Sicherheitslücke in der Kritik. Diese Lücke ist besonders für Unternehmen gefährlich.

Foto: PantherMedia / heiko119 (YAYMicro)

Der beliebte E-Mail-Client Mozilla Thunderbird steht aktuell wegen einer brisanten Sicherheitslücke in der Kritik. Eine Schwachstelle, die beim Umgang mit HTML-Mails auftritt, kann dazu führen, dass ohne Wissen oder Zutun der Nutzer Zugangsdaten weitergegeben oder lokale Dateien heruntergeladen werden. Ein simples Öffnen der Nachricht reicht in vielen Fällen schon aus – ein klassischer Fall von „gefährlich bequem“.

In Thunderbird wurde eine Sicherheitslücke entdeckt, die sich auf HTML-Mails bezieht. Genauer gesagt können Angreifer in der Mail sogenannte mailbox:///- oder file:///-Links verstecken. Sobald die Nachricht geöffnet wird, versucht Thunderbird automatisch und ohne Rückfrage, die damit verknüpften Inhalte herunterzuladen. Das erweist sich als besonders kritisch, wenn diese Links auf Dateien im lokalen System oder im Netzwerk zeigen.

In manchen Fällen kann diese Technik auch ausgenutzt werden, um Authentifizierungsdaten abzufangen. Zum Beispiel dann, wenn ein eingebetteter Link auf eine SMB-Netzwerkfreigabe verweist. Beim Verbindungsversuch sendet Windows automatisch Anmeldeinformationen mit – auch das geschieht im Hintergrund. Ein Angreifer könnte sich dadurch unbemerkt Zugang zu Netzwerkkonten verschaffen.
Eine weitere kreative, wenn auch destruktive Möglichkeit: Auf Linux-Systemen lässt sich die Lücke dazu verwenden, um mit einem einzigen Link die Festplatte zu füllen – beispielsweise über einen Verweis auf /dev/urandom, die endlos Zufallsdaten liefert. Cyberkriminelle, die solche Mails massenhaft verschicken, können damit leicht für einen Absturz sorgen – ein sogenannter Denial-of-Service.

Die Sicherheitslücke im Detail und was dagegen hilft

Die Schwachstelle mit der Kennung CVE-2025-5986 wird von Mozilla selbst als „hoch riskant“ eingestuft. Der technische Hintergrund ist relativ simpel: Thunderbird erkennt die eingebetteten Links in HTML-Mails und verarbeitet sie sofort, ohne vorher zu prüfen, ob es sich um potenziell gefährliche Pfade handelt. Die Bewertung der Lücke im internationalen CVSS-System liegt bei 6.5 – offiziell also „mittel“. Praktisch ist sie jedoch wesentlich gefährlicher, weil keine Nutzeraktion erforderlich ist.

Top Stellenangebote

Zur Jobbörse

Slider zurück scrollen Slider weiter scrollen

Verstärkung für unsere technischen Projekte im Bereich Engineering und IT (m/w/d) RHEINMETALL AG

deutschlandweit Zum Job 

Bauleitung Tiefbau im Bereich Entwässerung (gn) Stadtwerke Essen AG

Essen Zum Job 

Ingenieur / Techniker (gn) für Kanal- und Entwässerungsplanung Stadtwerke Essen AG

Essen Zum Job 

Projektmanager (gn) Integrale Sanierungskonzeption Stadtwerke Essen AG

Essen Zum Job 

Bauingenieur (w/m/d) Konstruktiver Ingenieurbau - Außenstelle Osnabrück Die Autobahn GmbH des Bundes

Osnabrück Zum Job 

Geschäftsbereichsleitung (w/m/d) Bau und Erhaltung - Außenstelle Hagen Die Autobahn GmbH des Bundes

Hagen Zum Job 

Projektleiter U5-Betriebsführungssystem - vollautomatisches U-Bahn-System (w/m/d) HOCHBAHN U5 Projekt GmbH

Hamburg Zum Job 

PhD Position - Techno-economic assessment of geothermal plants with material co-production in energy systems Forschungszentrum Jülich GmbH

Jülich Zum Job 

Bauingenieurin / Bauingenieur (w/m/d) für den Bereich Straßenbau Landesbetrieb Straßenbau und Verkehr Schleswig-Holstein

Kiel, Flensburg, Rendsburg, Itzehoe, Lübeck Zum Job 

Referent interne Revision (m/w/d) - Fokus Daten, Prozesse & Technik Immobilien Management Essen GmbH (IME)

Essen Zum Job 

Ingenieur/in (m/w/d) Siedlungswirtschaft/Tiefbau Gemeinde Schöneck

Schöneck Zum Job 

Betriebsingenieur Offshore (m/w/d) TenneT TSO

Hannover Zum Job 

Ingenieur*in Energie, Klimaschutz und Transformation (w/m/d) Hochschule für Musik und Darstellende Kunst Frankfurt am Main

Frankfurt Zum Job 

Schweißaufsichtsperson im Schweißfachbetrieb EXC 3 (m/w/d) OHRA Regalanlagen GmbH

Kerpen Zum Job 

Schweißaufsichtsperson im Schweißfachbetrieb EXC 3 (m/w/d) OHRA Regalanlagen GmbH

Kerpen Zum Job 

Geschäftsbereichsleitung (w/m/d) Bau und Erhaltung - Außenstelle Hamm Die Autobahn GmbH des Bundes

Hamm Zum Job 

Geschäftsbereichsleitung Betrieb und Verkehr (w/m/d) Außenstelle Hamm Die Autobahn GmbH des Bundes

Hamm Zum Job 

Projektingenieur - Technische Gebäudeausrüstung und Energiedienstleistungen (m/w/d) ista SE

Region Hamburg, Berlin oder Düsseldorf / Köln (West) Zum Job 

Prozessingenieur (m/w/d) Schleifring GmbH

Fürstenfeldbruck Zum Job 

Qualitätsingenieur Luft- und Raumfahrt (w/m/d) HYDAC Group

Sulzbach/Saar Zum Job 

Betroffen sind alle Thunderbird-Versionen bis einschließlich: 128.11.0 (ESR-Zweig) und 139.0.1 (Standardversion). Wer auf Version 128.11.1 oder 139.0.2 aktualisiert, ist geschützt – zumindest vor dieser Lücke. Die Updates stehen mittlerweile für alle Plattformen zur Verfügung.Wer regelmäßig mit HTML-Mails arbeitet, sollte möglichst schnell prüfen, ob er die aktuelle Thunderbird-Version nutzt. Falls nicht, sollte unbedingt ein Update durchgeführt werden. Mozilla hat den Fehler in seinen offiziellen Security-Advisories (MFSA 2025-49 und 2025-50) dokumentiert und die Sicherheitsupdates bereitgestellt.

Wer besonders vorsichtig sein möchte, kann HTML-Mails in den Thunderbird-Einstellungen deaktivieren. Dadurch werden Nachrichten nur noch als reiner Text angezeigt. Das sieht zwar etwas spartanischer aus, ist aber deutlich sicherer. Auch das automatische Laden externer Inhalte lässt sich deaktivieren – das schützt zusätzlich vor anderen Tracking- oder Malware-Techniken.

Thunderbird-Sicherheitslücke besonders für Unternehmen gefährlich

Für Unternehmen ist die Lücke besonders heikel. In professionellen IT-Umgebungen sollten Admins die zentrale Aktualisierung von Thunderbird sicherstellen und eventuell sogar das Öffnen von HTML-Mails per Policy unterbinden. Gerade wenn Thunderbird im Zusammenspiel mit Windows-Domänen genutzt wird, kann ein ungewolltes Senden von SMB-Log-ins schwerwiegende Folgen haben.

HTML-Mails: eine ewige Baustelle

Dass HTML-Mails ein Einfallstor für Angriffe sein können, ist keine neue Erkenntnis. Schon seit Jahren warnen Sicherheitsexperten vor Tracking-Pixeln, eingebetteten Scripts oder CSS-Manipulationen, die beim reinen Lesen der Mail ausgeführt werden können. Besonders brisant wurde es zuletzt mit der sogenannten EFAIL-Sicherheitslücke im Jahr 2018, bei der selbst verschlüsselte PGP-Mails durch geschickte Manipulationen ausgelesen werden konnten – ebenfalls durch HTML-Inhalte.

Warum Thunderbird bei den Sicherheitslücken oft im Fokus steht

Thunderbird steht dabei immer wieder im Fokus, weil der Client viele Freiheiten beim Darstellen von HTML bietet. Das macht ihn komfortabel, aber eben auch anfällig, wenn Sicherheitslücken wie diese auftauchen. Die Balance zwischen Benutzerfreundlichkeit und Sicherheit ist hier besonders schwer zu halten.

Auch interessant:

BSI und BND warnen

Russische Hacker nehmen Logistik- und Tech-Unternehmen ins Visier

Browser-Schnittstelle ist das Problem

IT-Sicherheitslücke gefunden: Forschende simulieren Angriffe

Positiv fällt auf, dass Mozilla auch im aktuellen Fall schnell reagiert hat. Die Sicherheitslücke wurde öffentlich dokumentiert, die Patches zügig bereitgestellt und die betroffenen Versionen klar benannt. Auch die Zusammenarbeit mit Sicherheitsdatenbanken wie der Enisa (EU Vulnerability Database) oder dem CVE-Register zeigt, dass die Entwickler die Lage ernst nehmen.

Allerdings bleibt ein Restproblem: Die meisten Nutzer bekommen solche Hinweise nicht mit. Selbst wenn ein Sicherheitsupdate bereitsteht, installieren es die Nutzer oft erst mit Verzögerung  – wenn überhaupt. Eine größere Warnung direkt im Mailclient wäre daher sicherlich hilfreich.