Die neue Thunderbird-Version 138 für Windows, macOS und Linux ist bereits am 30. April erschienen und hat vor allem Bugfixes und beseitigte Sicherheitslücken gebracht. In dieser Woche hat MZLA nachgelegt und ein Update auf Thunderbird 138.0.1 bereitgestellt, um weitere Sicherheitslücken zu schließen. Thunderbird 128.10esr ist ebenfalls in einer aktualisierten Fassung erhältlich.
Update 23. Mai – Pwn2own-Lücken in Thunderbird gestopft
Nachdem Mozilla die beim Hacker-Wettbewerb Pwn2own in Berlin demonstrierten Schwachstellen in Firefox bereits am letzten Tag des Wettbewerbs mit Updates geschlossen hatte, hat die Mozilla-Tochter MZLA auch entsprechende Updates für das Mail-Programm Thunderbird bereitgestellt. Im Sicherheitsbericht für Thunderbird 138.0.2 tragen die Sicherheitslücken zwar andere Bezeichner (CVE-2025-4918, -4919), es sind jedoch intern dieselben Bugs (1966612, 1966614). Auch die ESR-Ausgabe 128.x ist mit der aktualisierten Version Thunderbird 128.10.2esr abgesichert. In der kommenden Woche will Mozilla Firefox 139 und Thunderbird 139 freigeben. [/Update Ende]
Ursprünglicher Beitrag vom 15. Mai
In Thunderbird 138.0.1 haben die Entwickler vier Schwachstellen beseitigt, die in Mozillas Sicherheitsbericht MFSA2025-35 dokumentiert sind. Während Thunderbird ansonsten die meisten Lücken aus dem Firefox-Code erbt, sind es diesmal eigene Fehler. Drei der vier Sicherheitslücken sind als hohes Risiko eingestuft.
▶Die neuesten Sicherheits-Updates
So kann etwa die Spoofing-Lücke CVE-2025-3875 ausgenutzt werden, um die Absenderangabe zu verfälschen, die Thunderbird anzeigt. Steht etwa in der From-Zeile ein an sich ungültiger Eintrag wie „Falscher Name [email protected] [email protected]“, zeigt Thunderbird [email protected] als Absender an. Voraussetzung ist allerdings, dass der Mail-Versender einen Mail-Server nutzt, der die ungültige Absenderangabe akzeptiert.
Eine präparierte HTML-Mail, die Links des Typs „mailbox:///“ enthält, kann Thunderbird veranlassen, unerwünschte PDF-Dateien herunterzuladen und letztlich die Festplatte komplett zuzumüllen (CVE-2025-3877). Auch das Ausleiten von Zugangsdaten unter Windows via SMB (Freigaben) ist so möglich. Bei CVE-2025-3909 ist es sogar möglich, Javascript-Code im weniger strengen Kontext „file:///“ auszuführen. Hierzu täuscht der Angreifer eine PDF-Datei im Anhang einer speziell manipulierten Mail vor. Anders als im Browser ist beim Lesen von Mails die Script-Ausführung eigentlich abgeschaltet.
Tipp: Unabhängig davon, dass Sie Ihren Browser stets aktuell halten, sollten Sie die Sicherheit Ihres PCs zusätzlich mit geeigneter Antivirus-Software verbessern. Gute Antivirus-Lösungen stellen wir in „Die besten Antivirus-Programme 2025 im Test: So schützen Sie Ihren Windows-PC“ vor. Falls Sie großen Wert auf anonymes Surfen legen, sind wiederum gute VPN-Programme einen Blick wert.
Hinzu kommen ein paar Bug-Fixes. So haben die Entwickler einen Fehler behoben, durch den Thunderbird beim Import von Outlook-Nachrichten abstürzen kann. Enthält der Papierkorb in seinem Ordnernamen Unicode-Zeichen, die nicht zum altbekannten ASCII-Zeichenvorrat gehören, werden Mails unwiederbringlich gelöscht.
In der aktualisierten Langzeitausgabe Thunderbird 128.10.1esr haben die MZLA-Entwickler die gleichen vier Sicherheitslücken geschlossen wie in Thunderbird 138. Die monatliche Ausgabe ist seit März die Standardversion (wie bei Firefox), Informationen zur ESR-Ausgabe 128.x hat MZLA hingegen so gut versteckt, dass man sie nur noch durch beherztes Raten der Webadressen findet.
