FEHLER!

Thunderbird-Update schließt kritische Sicherheitslücke in HTML-E-Mails

Die Mozilla-Entwickler haben kürzlich aktualisierte Versionen von Thunderbird veröffentlicht, um eine Sicherheitslücke zu schließen, die im Handling von HTML-E-Mails bestand und Angreifern den Weg ebnen konnte, unberechtigt an sensible Zugangsdaten zu gelangen. Diese Schwachstelle wurde in zwei separaten Sicherheitsmitteilungen dokumentiert, einer für Thunderbird 129.0.2 und einer für Thunderbird 128.11.1.

Die Schwachstelle lässt sich durch den missbräuchlichen Einsatz von sorgfältig vorbereiteten mailbox:/// -Links ausnutzen. Diese Links könnten automatisch und ohne explizite Nutzerinteraktion zum Herunterladen von PDF-Dateien auf den Rechner des Benutzers führen, auch wenn die Funktion Auto-Speichern deaktiviert ist. Das bedeutet, dass Angreifer potenziell die Festplatte mit unnötigen Daten überfluten können, beispielsweise durch die Verwendung von /dev/urandom unter Linux.

Im Kontext einer bösartigen E-Mail mit solchen präparierten SMB-Links kann die Anzeige im HTML-Modus zu einer ungewollten Übermittlung von Windows-Zugangsdaten führen. Obwohl die Mozilla-Entwickler betonen, dass Nutzerinteraktion notwendig ist, um PDF-Dateien über diese Lücke herunterzuladen, kann optische Verschleierung den Download-Auslöser verdecken. Das bloße Anzeigen der HTML-E-Mail reicht aus, um externe Inhalte wie PDFs herunterzuladen. Die Schwachstelle wurde mit CVE-2025-5986 identifiziert und von ENISA unter der Nummer EUVD-2025-18099 geführt. Mit einem CVSS-Wert von 6,5 fällt sie in die Risikoeinstufung „mittel“, während Mozilla sie als „hoch“ einzustufen scheint.

Thunderbird-Nutzer sollten daher im Versionsdialog überprüfen, ob ihre Installation auf fehlerbehafteten Versionen (128.11.1, 129.0.2 oder neuer) ist und gegebenenfalls den Update-Vorgang initiieren. Für Linux-Benutzer erfolgt das Update über die jeweilige Softwareverwaltung, die gestartet und nach Aktualisierungen geprüft werden sollte.

Schlagwörter: Thunderbird 129.0.2 + Thunderbird + Linux

Wie bewerten Sie den Schreibstil des Artikels?
1 Star2 Stars3 Stars4 Stars5 Stars
  • 12. Juni 2025