Thunderbird: HTML-Mails können Zugangsdaten verraten, Update verfügbar

Die Mozilla-Entwickler haben das Mailprogramm Thunderbird in aktualisierten Fassungen veröffentlicht. Sie schließen eine Sicherheitslücke beim Verarbeiten von HTML-E-Mails, durch die Angreifer unter anderem unbefugt an Zugangsdaten gelangen können.

Die Mozilla-Stiftung hat zwei Sicherheitsmitteilungen dazu veröffentlicht, eine für Thunderbird 129.0.2 und eine für Thunderbird 128.11.1. Angreifer können die Sicherheitslücke durch den Einsatz von sorgsam präparierten „mailbox:///“-Links missbrauchen. Diese Links können laut Schwachstellenbeschreibung automatisch unaufgefordert zum Herunterladen von PDF-Dateien auf den Desktop oder in das User-Verzeichnis von Thunderbird-Nutzerinnen und -Nutzern führen, ohne ein Rückfrage zu erzeugen. Und das sogar dann, wenn Auto-Speichern nicht aktiviert ist.

Thunderbird-Lücke kann Zugangsdaten preisgeben

Dadurch könnten Angreifer die Festplatte mit Müll-Daten verstopfen, schreiben die Entwickler, etwa durch die Nutzung von „/dev/urandom“ unter Linux. Wenn bösartige Akteure sorgsam präparierte E-Mails mit derartig aufbereiteten SMB-Links an potenzielle Opfer schicken, kann die Anzeige der Mail im HTML-Modus zur Übermittlung von Windows-Zugangsdaten führen.

Die Mozilla-Programmierer schränken ein, dass Nutzerinteraktion nötig sei, um PDF-Dateien durch die Lücke herunterzuladen. Jedoch könne optische Verschleierung den Download-Auslöser verstecken. Das einfache Anzeigen von HTML-E-Mails reicht bereits aus, um externe Inhalte herunterzuladen.

Die Schwachstelle hat den CVE-Eintrag CVE-2025-5986 erhalten, die Enisa führt sie unter der Nummer EUVD-2025-18099. Mit einem CVSS-Wert von 6.5 gelangt sie zur Risikoeinstufung „mittel„. Die Mozilla-Entwickler schätzen die Schwachstelle hingegen als Risiko „hoch“ ein.

Wer Thunderbird einsetzt, sollte im Versionsdialog prüfen, ob die Version bereits auf den fehlerbereinigten Ständen 128.11.1, 139.0.2 oder jeweils neueren steht. Das stößt gegebenenfalls den Update-Prozess an. Linux-Distributionen verteilen das Update hingegen über ihre jeweils eigene Software-Verwaltung, weshalb Linux-User diese starten und nach Aktualisierungen suchen lassen sollten.

Vor zwei Wochen hatte Mozilla ebenfalls Updates für Thunderbird veröffentlicht. Sie haben eine als kritische Bedrohung eingestufte Sicherheitslücke geschlossen.

(dmk)