Gefährliche E-Mails 13.06.2025, 12:30 Uhr

Sicherheitslücke in Mozilla Thunderbird entdeckt

Sicherheitslücke in Mozilla Thunderbird entdeckt: HTML-Mails könnten Ihre Zugangsdaten gefährden. Informieren Sie sich jetzt.

Sicherheitslücke

Der beliebte E-Mail-Client Mozilla Thunderbird steht aktuell wegen einer brisanten Sicherheitslücke in der Kritik. Diese Lücke ist besonders für Unternehmen gefährlich.

Foto: PantherMedia / heiko119 (YAYMicro)

Der beliebte E-Mail-Client Mozilla Thunderbird steht aktuell wegen einer brisanten Sicherheitslücke in der Kritik. Eine Schwachstelle, die beim Umgang mit HTML-Mails auftritt, kann dazu führen, dass ohne Wissen oder Zutun der Nutzer Zugangsdaten weitergegeben oder lokale Dateien heruntergeladen werden. Ein simples Öffnen der Nachricht reicht in vielen Fällen schon aus – ein klassischer Fall von „gefährlich bequem“.

In Thunderbird wurde eine Sicherheitslücke entdeckt, die sich auf HTML-Mails bezieht. Genauer gesagt können Angreifer in der Mail sogenannte mailbox:///- oder file:///-Links verstecken. Sobald die Nachricht geöffnet wird, versucht Thunderbird automatisch und ohne Rückfrage, die damit verknüpften Inhalte herunterzuladen. Das erweist sich als besonders kritisch, wenn diese Links auf Dateien im lokalen System oder im Netzwerk zeigen.

In manchen Fällen kann diese Technik auch ausgenutzt werden, um Authentifizierungsdaten abzufangen. Zum Beispiel dann, wenn ein eingebetteter Link auf eine SMB-Netzwerkfreigabe verweist. Beim Verbindungsversuch sendet Windows automatisch Anmeldeinformationen mit – auch das geschieht im Hintergrund. Ein Angreifer könnte sich dadurch unbemerkt Zugang zu Netzwerkkonten verschaffen.
Eine weitere kreative, wenn auch destruktive Möglichkeit: Auf Linux-Systemen lässt sich die Lücke dazu verwenden, um mit einem einzigen Link die Festplatte zu füllen – beispielsweise über einen Verweis auf /dev/urandom, die endlos Zufallsdaten liefert. Cyberkriminelle, die solche Mails massenhaft verschicken, können damit leicht für einen Absturz sorgen – ein sogenannter Denial-of-Service.

Die Sicherheitslücke im Detail und was dagegen hilft

Die Schwachstelle mit der Kennung CVE-2025-5986 wird von Mozilla selbst als „hoch riskant“ eingestuft. Der technische Hintergrund ist relativ simpel: Thunderbird erkennt die eingebetteten Links in HTML-Mails und verarbeitet sie sofort, ohne vorher zu prüfen, ob es sich um potenziell gefährliche Pfade handelt. Die Bewertung der Lücke im internationalen CVSS-System liegt bei 6.5 – offiziell also „mittel“. Praktisch ist sie jedoch wesentlich gefährlicher, weil keine Nutzeraktion erforderlich ist.

Stellenangebote im Bereich IT/TK-Projektmanagement

IT/TK-Projektmanagement Jobs
IMS Röntgensysteme GmbH-Firmenlogo
Entwicklungsingenieur (m/w/i) für digitale Inspektionssysteme IMS Röntgensysteme GmbH
Heiligenhaus Zum Job 
AVM-Firmenlogo
Entwickler für Hochfrequenztechnik (w/m/d) AVM
Berlin Zum Job 
AVM-Firmenlogo
Team Lead Software Entwicklung Treiberintegration (w/m/d) AVM
Berlin Zum Job 
IMS Messsysteme GmbH-Firmenlogo
Entwicklungsingenieur (m/w/i) Systemsoftware IMS Messsysteme GmbH
Heiligenhaus Zum Job 
Flughafen München GmbH-Firmenlogo
Projektingenieur Sicherheitstechnik Sprachalarmierung (w/m/d) Flughafen München GmbH
München Zum Job 
B. Braun Melsungen AG-Firmenlogo
Senior Expert (w/m/d) Manufacturing Digitalization B. Braun Melsungen AG
Melsungen Zum Job 
Heuft Systemtechnik GmbH-Firmenlogo
Projektingenieur - Schwerpunkt Automatisierung, IT und Netzwerkinfrastruktur (m/w/d) Heuft Systemtechnik GmbH
Burgbrohl Zum Job 
VIVAVIS AG-Firmenlogo
Referent für Standardisierung und Förderprogramme / Wissenschaftlicher Mitarbeiter (m/w/d) VIVAVIS AG
Ettlingen Zum Job 
VIVAVIS AG-Firmenlogo
Produktmanager (m/w/d) - Metering Devices und Steuerbox VIVAVIS AG
Koblenz, Ettlingen Zum Job 
AGR Betriebsführung GmbH-Firmenlogo
Ingenieur Leittechnik (m/w/d) AGR Betriebsführung GmbH
Herten Zum Job 
Zweckverband Bodensee-Wasserversorgung-Firmenlogo
BIM-Modellierer / CAD-Administrator (m/w/d) Zweckverband Bodensee-Wasserversorgung
Stuttgart Zum Job 
Zweckverband Bodensee-Wasserversorgung-Firmenlogo
BIM-Ingenieur (m/w/d) mit Schwerpunkt Datenmanagement / Informationsmanagement Zweckverband Bodensee-Wasserversorgung
Stuttgart Zum Job 
IMS Messsysteme GmbH-Firmenlogo
Systemingenieur (m/w/i) für Oberflächeninspektion IMS Messsysteme GmbH
Heiligenhaus Zum Job 
RHEINMETALL AG-Firmenlogo
Verstärkung für unsere technischen Projekte im Bereich Engineering und IT (m/w/d) RHEINMETALL AG
deutschlandweit Zum Job 
DFS Deutsche Flugsicherung GmbH-Firmenlogo
Referent (m/w/d) Anforderungsmanagement Funktionale Systeme DFS Deutsche Flugsicherung GmbH
Langen Zum Job 
DNV GL SE-Firmenlogo
(Senior) Consultant for Digital System Operation (m/w/d) DNV GL SE
Dresden, Schönefeld Zum Job 
ESFORIN SE-Firmenlogo
Mitarbeiter*in Marktkommunikation & Prozesse (m/w/d) ESFORIN SE
Essen Zum Job 
über Jauss HR-Consulting GmbH & Co. KG-Firmenlogo
Ingenieur / Techniker (m/w/d) TIA-Programmierung & Inbetriebnahme - Baustoffanlagenbau über Jauss HR-Consulting GmbH & Co. KG
Raum Würzburg Zum Job 
ESA-Firmenlogo
Secure Connectivity System Architecture Engineer (f/m/d) ESA
Noordwijk (Niederlande) Zum Job 
Drägerwerk AG & Co. KGaA-Firmenlogo
Ingenieur / Specialist (m/w/d) Software und Datenkommunikation Drägerwerk AG & Co. KGaA
Lübeck Zum Job 

Betroffen sind alle Thunderbird-Versionen bis einschließlich: 128.11.0 (ESR-Zweig) und 139.0.1 (Standardversion). Wer auf Version 128.11.1 oder 139.0.2 aktualisiert, ist geschützt – zumindest vor dieser Lücke. Die Updates stehen mittlerweile für alle Plattformen zur Verfügung.Wer regelmäßig mit HTML-Mails arbeitet, sollte möglichst schnell prüfen, ob er die aktuelle Thunderbird-Version nutzt. Falls nicht, sollte unbedingt ein Update durchgeführt werden. Mozilla hat den Fehler in seinen offiziellen Security-Advisories (MFSA 2025-49 und 2025-50) dokumentiert und die Sicherheitsupdates bereitgestellt.

Wer besonders vorsichtig sein möchte, kann HTML-Mails in den Thunderbird-Einstellungen deaktivieren. Dadurch werden Nachrichten nur noch als reiner Text angezeigt. Das sieht zwar etwas spartanischer aus, ist aber deutlich sicherer. Auch das automatische Laden externer Inhalte lässt sich deaktivieren – das schützt zusätzlich vor anderen Tracking- oder Malware-Techniken.

Thunderbird-Sicherheitslücke besonders für Unternehmen gefährlich

Für Unternehmen ist die Lücke besonders heikel. In professionellen IT-Umgebungen sollten Admins die zentrale Aktualisierung von Thunderbird sicherstellen und eventuell sogar das Öffnen von HTML-Mails per Policy unterbinden. Gerade wenn Thunderbird im Zusammenspiel mit Windows-Domänen genutzt wird, kann ein ungewolltes Senden von SMB-Log-ins schwerwiegende Folgen haben.

HTML-Mails: eine ewige Baustelle

Dass HTML-Mails ein Einfallstor für Angriffe sein können, ist keine neue Erkenntnis. Schon seit Jahren warnen Sicherheitsexperten vor Tracking-Pixeln, eingebetteten Scripts oder CSS-Manipulationen, die beim reinen Lesen der Mail ausgeführt werden können. Besonders brisant wurde es zuletzt mit der sogenannten EFAIL-Sicherheitslücke im Jahr 2018, bei der selbst verschlüsselte PGP-Mails durch geschickte Manipulationen ausgelesen werden konnten – ebenfalls durch HTML-Inhalte.

Warum Thunderbird bei den Sicherheitslücken oft im Fokus steht

Thunderbird steht dabei immer wieder im Fokus, weil der Client viele Freiheiten beim Darstellen von HTML bietet. Das macht ihn komfortabel, aber eben auch anfällig, wenn Sicherheitslücken wie diese auftauchen. Die Balance zwischen Benutzerfreundlichkeit und Sicherheit ist hier besonders schwer zu halten.

Positiv fällt auf, dass Mozilla auch im aktuellen Fall schnell reagiert hat. Die Sicherheitslücke wurde öffentlich dokumentiert, die Patches zügig bereitgestellt und die betroffenen Versionen klar benannt. Auch die Zusammenarbeit mit Sicherheitsdatenbanken wie der Enisa (EU Vulnerability Database) oder dem CVE-Register zeigt, dass die Entwickler die Lage ernst nehmen.

Allerdings bleibt ein Restproblem: Die meisten Nutzer bekommen solche Hinweise nicht mit. Selbst wenn ein Sicherheitsupdate bereitsteht, installieren es die Nutzer oft erst mit Verzögerung  – wenn überhaupt. Eine größere Warnung direkt im Mailclient wäre daher sicherlich hilfreich.

Ein Beitrag von:

  • Elke von Rekowski

Themen im Artikel

Empfehlung der Redaktion

Projektmanagement
Projektmanagement

Die 11 besten Projektmanagement-Tools
Stromkabel an B des Bitcoin
Kryptowährung

Bitcoin: Wie umweltschädlich ist die Kryptowährung wirklich?
Messenger-Dienst

WhatsApp-Tricks, die Sie noch nicht kannten
Bildbearbeitung

Photoshop und Lightroom: Diese Alternativen sollten Sie sich anschauen
Luftbildaufnahme von Tokio
Ranking

Die 10 größten Städte der Welt
Messe

Hannover Messe Special

Ähnliche Artikel

BSI und BND warnen

Russische Hacker nehmen Logistik- und Tech-Unternehmen ins Visier
IT-Sicherheit für die Industrie

Neuer Service hilft bei Abwehr von Cyberangriffen auf OT-Systeme
Eine Gamerin tippt aus einer Tastatur und hält eine Kreditkarte in der anderen Hand.
Gaming

Game Over für Sicherheitslücken? Studie zur IT-Sicherheit bei Videospielen
Videokamera
TÜV warnt vor Hackerattacken

Smarte Videoüberwachung fürs Haus mit Sicherheitslücken

Zu unseren Newslettern anmelden

Das Wichtigste immer im Blick: Mit unseren beiden Newslettern verpassen Sie keine News mehr aus der schönen neuen Technikwelt und erhalten Karrieretipps rund um Jobsuche & Bewerbung. Sie begeistert ein Thema mehr als das andere? Dann wählen Sie einfach Ihren kostenfreien Favoriten.

Jetzt anmelden

Auch auf dieser Seite werden Cookies verwendet. Wir können damit die Seitennutzung auswerten, um nutzungsbasiert redaktionelle Inhalte und Werbung anzuzeigen. Das ist für uns wichtig, denn unser Angebot finanziert sich über Werbung. Die Nutzung der Seite gilt als Zustimmung zur Cookie-Nutzung. Weitere Infos