Sicherheitslücke in Mozilla Thunderbird entdeckt

Der beliebte E-Mail-Client Mozilla Thunderbird steht aktuell wegen einer brisanten Sicherheitslücke in der Kritik. Diese Lücke ist besonders für Unternehmen gefährlich.

Foto: PantherMedia / heiko119 (YAYMicro)

Der beliebte E-Mail-Client Mozilla Thunderbird steht aktuell wegen einer brisanten Sicherheitslücke in der Kritik. Eine Schwachstelle, die beim Umgang mit HTML-Mails auftritt, kann dazu führen, dass ohne Wissen oder Zutun der Nutzer Zugangsdaten weitergegeben oder lokale Dateien heruntergeladen werden. Ein simples Öffnen der Nachricht reicht in vielen Fällen schon aus – ein klassischer Fall von „gefährlich bequem“.

In Thunderbird wurde eine Sicherheitslücke entdeckt, die sich auf HTML-Mails bezieht. Genauer gesagt können Angreifer in der Mail sogenannte mailbox:///- oder file:///-Links verstecken. Sobald die Nachricht geöffnet wird, versucht Thunderbird automatisch und ohne Rückfrage, die damit verknüpften Inhalte herunterzuladen. Das erweist sich als besonders kritisch, wenn diese Links auf Dateien im lokalen System oder im Netzwerk zeigen.

In manchen Fällen kann diese Technik auch ausgenutzt werden, um Authentifizierungsdaten abzufangen. Zum Beispiel dann, wenn ein eingebetteter Link auf eine SMB-Netzwerkfreigabe verweist. Beim Verbindungsversuch sendet Windows automatisch Anmeldeinformationen mit – auch das geschieht im Hintergrund. Ein Angreifer könnte sich dadurch unbemerkt Zugang zu Netzwerkkonten verschaffen.
Eine weitere kreative, wenn auch destruktive Möglichkeit: Auf Linux-Systemen lässt sich die Lücke dazu verwenden, um mit einem einzigen Link die Festplatte zu füllen – beispielsweise über einen Verweis auf /dev/urandom, die endlos Zufallsdaten liefert. Cyberkriminelle, die solche Mails massenhaft verschicken, können damit leicht für einen Absturz sorgen – ein sogenannter Denial-of-Service.

Die Sicherheitslücke im Detail und was dagegen hilft

Die Schwachstelle mit der Kennung CVE-2025-5986 wird von Mozilla selbst als „hoch riskant“ eingestuft. Der technische Hintergrund ist relativ simpel: Thunderbird erkennt die eingebetteten Links in HTML-Mails und verarbeitet sie sofort, ohne vorher zu prüfen, ob es sich um potenziell gefährliche Pfade handelt. Die Bewertung der Lücke im internationalen CVSS-System liegt bei 6.5 – offiziell also „mittel“. Praktisch ist sie jedoch wesentlich gefährlicher, weil keine Nutzeraktion erforderlich ist.

Top Stellenangebote

Zur Jobbörse

Slider zurück scrollen Slider weiter scrollen

Technical Expert / Sachverständiger (w/m/d) Bereich Global Technical Services Crawford & Company (Deutschland) GmbH

verschiedene Einsatzorte Zum Job 

Projektleiter (m/w/d) Schulbau GVE Grundstücksverwaltung Stadt Essen GmbH

Essen Zum Job 

Projektleiter (m/w/d) für Hoch- und Schlüsselfertigbau KLEBL GmbH

Raum Berlin-Brandenburg Zum Job 

Projektleiter (m/w/d) für Hoch- und Schlüsselfertigbau KLEBL GmbH

Frankfurt Zum Job 

Kalkulator (m/w/d) im Bereich Hochbau- und Schlüsselfertigbau KLEBL GmbH

Berlin-Brandenburg Zum Job 

Bauleiter (m/w/d) im Hausbau KLEBL GmbH

Neumarkt Zum Job 

Technischer Einkäufer (m/w/d/) Titan Umreifungstechnik GmbH & Co. KG

Schwelm Zum Job 

Qualitätsingenieur (w/m/d) Produktentwicklung Excelitas Deutschland GmbH

Feldkirchen Zum Job 

Bauingenieur in der Bauwerksprüfung (w/m/d) Die Autobahn GmbH des Bundes

Würzburg Zum Job 

Abteilungsleitung Umweltplanung (w/m/d) Die Autobahn GmbH des Bundes

Stade Zum Job 

Konstruktionsingenieur mit Projektverantwortung (m/w/d) Schleifring GmbH

Fürstenfeldbruck Zum Job 

Strategischer Einkäufer im Sondermaschinenbau (m/w/d) KLN Ultraschall AG

Heppenheim (Bergstraße) Zum Job 

Prozesskoordinator (m/w/d) - Produktionstechnik Max Bögl Transport und Geräte GmbH & Co. KG

Sengenthal Zum Job 

Professur (m/w/d) für Elektrische Energietechnik Hochschule Emden/Leer

Emden Zum Job 

Technischer Redakteur (m/w/d) für Maschinenbau Beckhoff Automation GmbH & Co. KG

Herzebrock-Clarholz Zum Job 

Bauingenieur / Projektingenieur Ingenieurbau (w/m/d) Hamburger Hochbahn AG

Hamburg Zum Job 

Ingenieur/-in / Naturwissenschaftler/-in (m/w/d) für den Einsatz im Bereich Medizintechnik/-Produkte Staatliches Gewerbeaufsichtsamt Braunschweig

Braunschweig Zum Job 

Professur "Produktentwicklung und Additive Fertigung (W2)" Hochschule Düsseldorf University of Applied Sciences

Düsseldorf Zum Job 

Abteilungsleitung Straßen- und Brückenbauverwaltung (m/w/d) Kreis Steinburg

Itzehoe Zum Job 

Engineer Aircraft Reliability & Maintenance Program (m/f/x) Aerologic GmbH

Schkeuditz Zum Job 

Betroffen sind alle Thunderbird-Versionen bis einschließlich: 128.11.0 (ESR-Zweig) und 139.0.1 (Standardversion). Wer auf Version 128.11.1 oder 139.0.2 aktualisiert, ist geschützt – zumindest vor dieser Lücke. Die Updates stehen mittlerweile für alle Plattformen zur Verfügung.Wer regelmäßig mit HTML-Mails arbeitet, sollte möglichst schnell prüfen, ob er die aktuelle Thunderbird-Version nutzt. Falls nicht, sollte unbedingt ein Update durchgeführt werden. Mozilla hat den Fehler in seinen offiziellen Security-Advisories (MFSA 2025-49 und 2025-50) dokumentiert und die Sicherheitsupdates bereitgestellt.

Wer besonders vorsichtig sein möchte, kann HTML-Mails in den Thunderbird-Einstellungen deaktivieren. Dadurch werden Nachrichten nur noch als reiner Text angezeigt. Das sieht zwar etwas spartanischer aus, ist aber deutlich sicherer. Auch das automatische Laden externer Inhalte lässt sich deaktivieren – das schützt zusätzlich vor anderen Tracking- oder Malware-Techniken.

Thunderbird-Sicherheitslücke besonders für Unternehmen gefährlich

Für Unternehmen ist die Lücke besonders heikel. In professionellen IT-Umgebungen sollten Admins die zentrale Aktualisierung von Thunderbird sicherstellen und eventuell sogar das Öffnen von HTML-Mails per Policy unterbinden. Gerade wenn Thunderbird im Zusammenspiel mit Windows-Domänen genutzt wird, kann ein ungewolltes Senden von SMB-Log-ins schwerwiegende Folgen haben.

HTML-Mails: eine ewige Baustelle

Dass HTML-Mails ein Einfallstor für Angriffe sein können, ist keine neue Erkenntnis. Schon seit Jahren warnen Sicherheitsexperten vor Tracking-Pixeln, eingebetteten Scripts oder CSS-Manipulationen, die beim reinen Lesen der Mail ausgeführt werden können. Besonders brisant wurde es zuletzt mit der sogenannten EFAIL-Sicherheitslücke im Jahr 2018, bei der selbst verschlüsselte PGP-Mails durch geschickte Manipulationen ausgelesen werden konnten – ebenfalls durch HTML-Inhalte.

Warum Thunderbird bei den Sicherheitslücken oft im Fokus steht

Thunderbird steht dabei immer wieder im Fokus, weil der Client viele Freiheiten beim Darstellen von HTML bietet. Das macht ihn komfortabel, aber eben auch anfällig, wenn Sicherheitslücken wie diese auftauchen. Die Balance zwischen Benutzerfreundlichkeit und Sicherheit ist hier besonders schwer zu halten.

Auch interessant:

BSI und BND warnen

Russische Hacker nehmen Logistik- und Tech-Unternehmen ins Visier

Browser-Schnittstelle ist das Problem

IT-Sicherheitslücke gefunden: Forschende simulieren Angriffe

Positiv fällt auf, dass Mozilla auch im aktuellen Fall schnell reagiert hat. Die Sicherheitslücke wurde öffentlich dokumentiert, die Patches zügig bereitgestellt und die betroffenen Versionen klar benannt. Auch die Zusammenarbeit mit Sicherheitsdatenbanken wie der Enisa (EU Vulnerability Database) oder dem CVE-Register zeigt, dass die Entwickler die Lage ernst nehmen.

Allerdings bleibt ein Restproblem: Die meisten Nutzer bekommen solche Hinweise nicht mit. Selbst wenn ein Sicherheitsupdate bereitsteht, installieren es die Nutzer oft erst mit Verzögerung  – wenn überhaupt. Eine größere Warnung direkt im Mailclient wäre daher sicherlich hilfreich.