Sicherheitslücke in Mozilla Thunderbird entdeckt

Der beliebte E-Mail-Client Mozilla Thunderbird steht aktuell wegen einer brisanten Sicherheitslücke in der Kritik. Diese Lücke ist besonders für Unternehmen gefährlich.

Foto: PantherMedia / heiko119 (YAYMicro)

Der beliebte E-Mail-Client Mozilla Thunderbird steht aktuell wegen einer brisanten Sicherheitslücke in der Kritik. Eine Schwachstelle, die beim Umgang mit HTML-Mails auftritt, kann dazu führen, dass ohne Wissen oder Zutun der Nutzer Zugangsdaten weitergegeben oder lokale Dateien heruntergeladen werden. Ein simples Öffnen der Nachricht reicht in vielen Fällen schon aus – ein klassischer Fall von „gefährlich bequem“.

In Thunderbird wurde eine Sicherheitslücke entdeckt, die sich auf HTML-Mails bezieht. Genauer gesagt können Angreifer in der Mail sogenannte mailbox:///- oder file:///-Links verstecken. Sobald die Nachricht geöffnet wird, versucht Thunderbird automatisch und ohne Rückfrage, die damit verknüpften Inhalte herunterzuladen. Das erweist sich als besonders kritisch, wenn diese Links auf Dateien im lokalen System oder im Netzwerk zeigen.

In manchen Fällen kann diese Technik auch ausgenutzt werden, um Authentifizierungsdaten abzufangen. Zum Beispiel dann, wenn ein eingebetteter Link auf eine SMB-Netzwerkfreigabe verweist. Beim Verbindungsversuch sendet Windows automatisch Anmeldeinformationen mit – auch das geschieht im Hintergrund. Ein Angreifer könnte sich dadurch unbemerkt Zugang zu Netzwerkkonten verschaffen.
Eine weitere kreative, wenn auch destruktive Möglichkeit: Auf Linux-Systemen lässt sich die Lücke dazu verwenden, um mit einem einzigen Link die Festplatte zu füllen – beispielsweise über einen Verweis auf /dev/urandom, die endlos Zufallsdaten liefert. Cyberkriminelle, die solche Mails massenhaft verschicken, können damit leicht für einen Absturz sorgen – ein sogenannter Denial-of-Service.

Die Sicherheitslücke im Detail und was dagegen hilft

Die Schwachstelle mit der Kennung CVE-2025-5986 wird von Mozilla selbst als „hoch riskant“ eingestuft. Der technische Hintergrund ist relativ simpel: Thunderbird erkennt die eingebetteten Links in HTML-Mails und verarbeitet sie sofort, ohne vorher zu prüfen, ob es sich um potenziell gefährliche Pfade handelt. Die Bewertung der Lücke im internationalen CVSS-System liegt bei 6.5 – offiziell also „mittel“. Praktisch ist sie jedoch wesentlich gefährlicher, weil keine Nutzeraktion erforderlich ist.

Top Stellenangebote

Zur Jobbörse

Slider zurück scrollen Slider weiter scrollen

Bauingenieur für Streckenplanung (w/m/d) Die Autobahn GmbH des Bundes

Fürth Zum Job 

Fachingenieur für Streckenplanung (w/m/d) Die Autobahn GmbH des Bundes

Fürth Zum Job 

Produktmanager (w/m/d) für Systementwicklung iCAS DFS Deutsche Flugsicherung

Langen bei Frankfurt Zum Job 

Schweißlehrer:in für WIG, MIG/MAG und E-Hand (m/w/d) WBS TRAINING AG

Dresden Zum Job 

Projektingenieur/in - Technische Projektierung / Presales Engineering (m/w/d) mit Schwerpunkt keramische Hochtemperatur-Isolationstechnik M.E. SCHUPP Industriekeramik GmbH

Aachen Zum Job 

Parametrierer Stationsleittechnik (m/w/d) TenneT TSO

Audorf, Stockelsdorf Zum Job 

Bauingenieur (w/m/d) für die Projektleitung von Lärmschutz- und Brückenbauwerken Die Autobahn GmbH des Bundes

Nürnberg Zum Job 

Automatisierungstechniker (m/w/d) im Bereich Sondermaschinenbau Max Bögl Bauservice GmbH & Co. KG

Sengenthal bei Neumarkt in der Oberpfalz Zum Job 

Tech Lead (m/w/d) Electric Powertrain / Elektromotoren Jungheinrich Aktiengesellschaft

Norderstedt Zum Job 

Architekt / Bauingenieur als Sales Manager (m/w/d) für schlüsselfertige Gewerbeimmobilien GOLDBECK West GmbH

Hürth Zum Job 

Bauingenieur oder Projektmanager (m/w/d) Bau & Technik Gemeinnützige Gesellschaft der Franziskanerinnen zu Olpe mbH (GFO)

Dinslaken, Troisdorf, Hilden, Olpe, Bonn, Langenfeld Zum Job 

Arbeitsvorbereiter Fertigungssteuerung (m/w/d) Schleifring GmbH

Fürstenfeldbruck Zum Job 

Projektleiter (m/w/d) Serielle Sanierung & GU-Projekte Allbau Managementgesellschaft mbH

Essen Zum Job 

Projektleitung - Neubau Reinraum (all genders) Fraunhofer-Institut für Angewandte Festkörperphysik IAF

Freiburg im Breisgau Zum Job 

OT Security Engineer (m/w/d) TenneT TSO

Audorf, Stockelsdorf Zum Job 

Konstruktionsingenieur / Maschinenbautechniker (m/w/d) Schwerpunkt Maschinen- & Anlagenbau Schmoll Maschinen GmbH

Rödermark Zum Job 

(Senior) Projektkoordinator (m/w/d) Hochbau & Stadtentwicklung Immobilien Management Essen GmbH (IME)

Essen Zum Job 

Projektentwickler (m/w/d) Immobilien Allbau Managementgesellschaft mbH

Essen Zum Job 

Vertriebsingenieur (m/w/d) als Produkt-Account-Manager Antriebskomponenten/Bremsen RINGSPANN GmbH

Bad Homburg Zum Job 

Technical Expert / Sachverständiger (w/m/d) Bereich Global Technical Services Crawford & Company (Deutschland) GmbH

verschiedene Einsatzorte Zum Job 

Betroffen sind alle Thunderbird-Versionen bis einschließlich: 128.11.0 (ESR-Zweig) und 139.0.1 (Standardversion). Wer auf Version 128.11.1 oder 139.0.2 aktualisiert, ist geschützt – zumindest vor dieser Lücke. Die Updates stehen mittlerweile für alle Plattformen zur Verfügung.Wer regelmäßig mit HTML-Mails arbeitet, sollte möglichst schnell prüfen, ob er die aktuelle Thunderbird-Version nutzt. Falls nicht, sollte unbedingt ein Update durchgeführt werden. Mozilla hat den Fehler in seinen offiziellen Security-Advisories (MFSA 2025-49 und 2025-50) dokumentiert und die Sicherheitsupdates bereitgestellt.

Wer besonders vorsichtig sein möchte, kann HTML-Mails in den Thunderbird-Einstellungen deaktivieren. Dadurch werden Nachrichten nur noch als reiner Text angezeigt. Das sieht zwar etwas spartanischer aus, ist aber deutlich sicherer. Auch das automatische Laden externer Inhalte lässt sich deaktivieren – das schützt zusätzlich vor anderen Tracking- oder Malware-Techniken.

Thunderbird-Sicherheitslücke besonders für Unternehmen gefährlich

Für Unternehmen ist die Lücke besonders heikel. In professionellen IT-Umgebungen sollten Admins die zentrale Aktualisierung von Thunderbird sicherstellen und eventuell sogar das Öffnen von HTML-Mails per Policy unterbinden. Gerade wenn Thunderbird im Zusammenspiel mit Windows-Domänen genutzt wird, kann ein ungewolltes Senden von SMB-Log-ins schwerwiegende Folgen haben.

HTML-Mails: eine ewige Baustelle

Dass HTML-Mails ein Einfallstor für Angriffe sein können, ist keine neue Erkenntnis. Schon seit Jahren warnen Sicherheitsexperten vor Tracking-Pixeln, eingebetteten Scripts oder CSS-Manipulationen, die beim reinen Lesen der Mail ausgeführt werden können. Besonders brisant wurde es zuletzt mit der sogenannten EFAIL-Sicherheitslücke im Jahr 2018, bei der selbst verschlüsselte PGP-Mails durch geschickte Manipulationen ausgelesen werden konnten – ebenfalls durch HTML-Inhalte.

Warum Thunderbird bei den Sicherheitslücken oft im Fokus steht

Thunderbird steht dabei immer wieder im Fokus, weil der Client viele Freiheiten beim Darstellen von HTML bietet. Das macht ihn komfortabel, aber eben auch anfällig, wenn Sicherheitslücken wie diese auftauchen. Die Balance zwischen Benutzerfreundlichkeit und Sicherheit ist hier besonders schwer zu halten.

Auch interessant:

BSI und BND warnen

Russische Hacker nehmen Logistik- und Tech-Unternehmen ins Visier

Browser-Schnittstelle ist das Problem

IT-Sicherheitslücke gefunden: Forschende simulieren Angriffe

Positiv fällt auf, dass Mozilla auch im aktuellen Fall schnell reagiert hat. Die Sicherheitslücke wurde öffentlich dokumentiert, die Patches zügig bereitgestellt und die betroffenen Versionen klar benannt. Auch die Zusammenarbeit mit Sicherheitsdatenbanken wie der Enisa (EU Vulnerability Database) oder dem CVE-Register zeigt, dass die Entwickler die Lage ernst nehmen.

Allerdings bleibt ein Restproblem: Die meisten Nutzer bekommen solche Hinweise nicht mit. Selbst wenn ein Sicherheitsupdate bereitsteht, installieren es die Nutzer oft erst mit Verzögerung  – wenn überhaupt. Eine größere Warnung direkt im Mailclient wäre daher sicherlich hilfreich.