Sicherheitslücke in Mozilla Thunderbird entdeckt

Der beliebte E-Mail-Client Mozilla Thunderbird steht aktuell wegen einer brisanten Sicherheitslücke in der Kritik. Diese Lücke ist besonders für Unternehmen gefährlich.

Foto: PantherMedia / heiko119 (YAYMicro)

Der beliebte E-Mail-Client Mozilla Thunderbird steht aktuell wegen einer brisanten Sicherheitslücke in der Kritik. Eine Schwachstelle, die beim Umgang mit HTML-Mails auftritt, kann dazu führen, dass ohne Wissen oder Zutun der Nutzer Zugangsdaten weitergegeben oder lokale Dateien heruntergeladen werden. Ein simples Öffnen der Nachricht reicht in vielen Fällen schon aus – ein klassischer Fall von „gefährlich bequem“.

In Thunderbird wurde eine Sicherheitslücke entdeckt, die sich auf HTML-Mails bezieht. Genauer gesagt können Angreifer in der Mail sogenannte mailbox:///- oder file:///-Links verstecken. Sobald die Nachricht geöffnet wird, versucht Thunderbird automatisch und ohne Rückfrage, die damit verknüpften Inhalte herunterzuladen. Das erweist sich als besonders kritisch, wenn diese Links auf Dateien im lokalen System oder im Netzwerk zeigen.

In manchen Fällen kann diese Technik auch ausgenutzt werden, um Authentifizierungsdaten abzufangen. Zum Beispiel dann, wenn ein eingebetteter Link auf eine SMB-Netzwerkfreigabe verweist. Beim Verbindungsversuch sendet Windows automatisch Anmeldeinformationen mit – auch das geschieht im Hintergrund. Ein Angreifer könnte sich dadurch unbemerkt Zugang zu Netzwerkkonten verschaffen.
Eine weitere kreative, wenn auch destruktive Möglichkeit: Auf Linux-Systemen lässt sich die Lücke dazu verwenden, um mit einem einzigen Link die Festplatte zu füllen – beispielsweise über einen Verweis auf /dev/urandom, die endlos Zufallsdaten liefert. Cyberkriminelle, die solche Mails massenhaft verschicken, können damit leicht für einen Absturz sorgen – ein sogenannter Denial-of-Service.

Die Sicherheitslücke im Detail und was dagegen hilft

Die Schwachstelle mit der Kennung CVE-2025-5986 wird von Mozilla selbst als „hoch riskant“ eingestuft. Der technische Hintergrund ist relativ simpel: Thunderbird erkennt die eingebetteten Links in HTML-Mails und verarbeitet sie sofort, ohne vorher zu prüfen, ob es sich um potenziell gefährliche Pfade handelt. Die Bewertung der Lücke im internationalen CVSS-System liegt bei 6.5 – offiziell also „mittel“. Praktisch ist sie jedoch wesentlich gefährlicher, weil keine Nutzeraktion erforderlich ist.

Top Stellenangebote

Zur Jobbörse

Slider zurück scrollen Slider weiter scrollen

Technischer Redakteur (m/w/d) für Maschinenbau Beckhoff Automation GmbH & Co. KG

Herzebrock-Clarholz Zum Job 

Bauingenieur / Projektingenieur Ingenieurbau (w/m/d) Hamburger Hochbahn AG

Hamburg Zum Job 

Ingenieur/-in / Naturwissenschaftler/-in (m/w/d) für den Einsatz im Bereich Medizintechnik/-Produkte Staatliches Gewerbeaufsichtsamt Braunschweig

Braunschweig Zum Job 

Engineer Aircraft Reliability & Maintenance Program (m/f/x) Aerologic GmbH

Schkeuditz Zum Job 

Verfahrenstechniker / Ingenieur Verfahrenstechnik (m/w/d) Seppeler Holding & Verwaltungs GmbH & Co. KG

Rietberg Zum Job 

Verstärkung für unsere technischen Projekte im Bereich Engineering und IT (m/w/d) RHEINMETALL AG

deutschlandweit Zum Job 

Bauingenieurin / Bauingenieur (w/m/d) für den Bereich Straßenbau Landesbetrieb Straßenbau und Verkehr Schleswig-Holstein

Kiel, Flensburg, Rendsburg, Itzehoe, Lübeck Zum Job 

Geschäftsführung (m/w/d) ifp | Executive Search. Management Diagnostik.

Ruhrgebiet Zum Job 

Teamlead Shopfloor Service Station Norderstedt (m/w/d) HYDRO Systems GmbH & Co. KG

Norderstedt Zum Job 

Projektassistenz (m/w/d) Baumanagement GVG Immobilien Service GmbH

München Zum Job 

Projektmanager (m/w/d) Gebäudemanagement und Infrastruktur Steuler Services GmbH & Co. KG

Höhr-Grenzhausen Zum Job 

Ingenieur / Meister / Techniker Elektrotechnik / Automatisierungstechnik (m/w/d) Birkenstock Productions Hessen GmbH

Steinau an der Straße Zum Job 

Architekten, Bau- und Elektroingenieure (m/w/d) Staatliches Baumanagement Region Nord-West

Wilhelmshaven Zum Job 

Architekten / Bauingenieure (m/w/d) Hochbau Staatliches Baumanagement Region Nord-West

verschiedene Standorte Zum Job 

Ingenieure (m/w/d) Versorgungstechnik bzw. Technische Gebäudeausrüstung Staatliches Baumanagement Region Nord-West

Wilhelmshaven, Bad Iburg, Oldenburg, Aurich, Meppen, Emden Zum Job 

Ingenieure (m/w/d) der Fachrichtungen konstruktiver Ingenieurbau/Tiefbau/Geo-/Naturwissenschaften/Landschaftsbau Staatliches Baumanagement Region Nord-West

verschiedene Standorte Zum Job 

Ingenieure (m/w/d) Elektrotechnik Staatliches Baumanagement Region Nord-West

verschiedene Standorte Zum Job 

Werkleitung (w/m/d) mit Leitwerksfunktion WITTENSTEIN SE

Igersheim-Harthausen Zum Job 

Leitung Facility Management (m/w/d) Sparda-Bank Südwest eG

Mainz Zum Job 

Prüfingenieur Konstruktiver Ingenieurbau / Bauwesen (w/m/d) Hamburger Hochbahn AG

Hamburg Zum Job 

Betroffen sind alle Thunderbird-Versionen bis einschließlich: 128.11.0 (ESR-Zweig) und 139.0.1 (Standardversion). Wer auf Version 128.11.1 oder 139.0.2 aktualisiert, ist geschützt – zumindest vor dieser Lücke. Die Updates stehen mittlerweile für alle Plattformen zur Verfügung.Wer regelmäßig mit HTML-Mails arbeitet, sollte möglichst schnell prüfen, ob er die aktuelle Thunderbird-Version nutzt. Falls nicht, sollte unbedingt ein Update durchgeführt werden. Mozilla hat den Fehler in seinen offiziellen Security-Advisories (MFSA 2025-49 und 2025-50) dokumentiert und die Sicherheitsupdates bereitgestellt.

Wer besonders vorsichtig sein möchte, kann HTML-Mails in den Thunderbird-Einstellungen deaktivieren. Dadurch werden Nachrichten nur noch als reiner Text angezeigt. Das sieht zwar etwas spartanischer aus, ist aber deutlich sicherer. Auch das automatische Laden externer Inhalte lässt sich deaktivieren – das schützt zusätzlich vor anderen Tracking- oder Malware-Techniken.

Thunderbird-Sicherheitslücke besonders für Unternehmen gefährlich

Für Unternehmen ist die Lücke besonders heikel. In professionellen IT-Umgebungen sollten Admins die zentrale Aktualisierung von Thunderbird sicherstellen und eventuell sogar das Öffnen von HTML-Mails per Policy unterbinden. Gerade wenn Thunderbird im Zusammenspiel mit Windows-Domänen genutzt wird, kann ein ungewolltes Senden von SMB-Log-ins schwerwiegende Folgen haben.

HTML-Mails: eine ewige Baustelle

Dass HTML-Mails ein Einfallstor für Angriffe sein können, ist keine neue Erkenntnis. Schon seit Jahren warnen Sicherheitsexperten vor Tracking-Pixeln, eingebetteten Scripts oder CSS-Manipulationen, die beim reinen Lesen der Mail ausgeführt werden können. Besonders brisant wurde es zuletzt mit der sogenannten EFAIL-Sicherheitslücke im Jahr 2018, bei der selbst verschlüsselte PGP-Mails durch geschickte Manipulationen ausgelesen werden konnten – ebenfalls durch HTML-Inhalte.

Warum Thunderbird bei den Sicherheitslücken oft im Fokus steht

Thunderbird steht dabei immer wieder im Fokus, weil der Client viele Freiheiten beim Darstellen von HTML bietet. Das macht ihn komfortabel, aber eben auch anfällig, wenn Sicherheitslücken wie diese auftauchen. Die Balance zwischen Benutzerfreundlichkeit und Sicherheit ist hier besonders schwer zu halten.

Auch interessant:

BSI und BND warnen

Russische Hacker nehmen Logistik- und Tech-Unternehmen ins Visier

Browser-Schnittstelle ist das Problem

IT-Sicherheitslücke gefunden: Forschende simulieren Angriffe

Positiv fällt auf, dass Mozilla auch im aktuellen Fall schnell reagiert hat. Die Sicherheitslücke wurde öffentlich dokumentiert, die Patches zügig bereitgestellt und die betroffenen Versionen klar benannt. Auch die Zusammenarbeit mit Sicherheitsdatenbanken wie der Enisa (EU Vulnerability Database) oder dem CVE-Register zeigt, dass die Entwickler die Lage ernst nehmen.

Allerdings bleibt ein Restproblem: Die meisten Nutzer bekommen solche Hinweise nicht mit. Selbst wenn ein Sicherheitsupdate bereitsteht, installieren es die Nutzer oft erst mit Verzögerung  – wenn überhaupt. Eine größere Warnung direkt im Mailclient wäre daher sicherlich hilfreich.