Wichtige Sicherheits-Updates für Thunderbird
Wichtige Sicherheits-Updates für ThunderbirdMit den Updates auf die Thunderbird-Versionen 137.0.2 sowie 128.9.2esr für Windows, macOS und Linux schließt Mozilla mehrere Sicherheitslücken und behebt weitere Fehler in der Mail-Software. So gibt es offenbar Probleme mit der Zwei-Faktor-Authentifizierung bei Microsoft Office 365.In Thunderbird 137.0.2 sowie 128.9.2esr haben die Entwickler drei identische Schwachstellen beseitigt, die in Mozillas Sicherheitsberichten MFSA2025-26 und MFSA2025-27 dokumentiert sind. Während Thunderbird viele seiner Schwachstellen von Firefox erbt, resultieren diese drei Lücken aus Thunderbirds Umgang mit Mail-Anhängen.▶Die neuesten Sicherheits-UpdatesDie erste Sicherheitslücke, CVE-2025-35220, ist als hohes Risiko eingestuft und kann letztlich dazu führen, dass etwa Anmeldedaten für Windows ausgeleitet werden können. Mail-Anhänge können auch auf einem externen Server lagern. Wird eine Mail mit einem solchen Anhang in Thunderbird geöffnet, greift Thunderbird auf die URL zu, um die Dateigröße zu ermitteln und ruft sie auf, wenn der Benutzer den Anhang anklickt. Da Thunderbird die URL nicht überprüft, können Verweise auf interne Freigaben und andere lokale Ressourcen darin stecken.Auch zweite Schwachstelle, CVE-2025-2830, ist als hohes Risiko ausgewiesen und ist offenbar zunächst auf Linux-Systemen aufgefallen. Doch auch unter Windows ist ähnliches Verhalten zu beobachten. Ein Angreifer kann einen speziellen Namen für einen Mail-Anhang vergeben, um Thunderbird dazu zu bringen, den Inhalt des Verzeichnisses /tmp aufzulisten. Diese Liste würde beim Weiterleiten oder Bearbeiten der Mail als neue Nachricht mitgeschickt. So könnten sensible Informationen offengelegt werden.Die Lücke CVE-2025-3523 ist hingegen als geringes Risiko eingestuft. Enthält eine Mail mehrere extern verknüpfte Anhänge, zeigt Thunderbird nur den letzten Link an, wenn der Benutzer mit der Maus über einen der Anhänge fährt. Beim Anklicken wird hingegen der korrekte Link genutzt. So könnte der Benutzer unabsichtlich Dateien aus nicht vertrauenswürdigen Quellen herunterladen.Tipp: Unabhängig davon, dass Sie Ihre Software stets aktuell halten, sollten Sie die Sicherheit Ihres PCs zusätzlich mit geeigneter Antivirus-Software verbessern. Gute Antivirus-Lösungen stellen wir in „Die besten Antivirus-Programme 2025 im Test: So schützen Sie Ihren Windows-PC“ vor. Falls Sie großen Wert auf anonymes Surfen legen, sind wiederum gute VPN-Programme einen Blick wert.Beseitigte FehlerIn Thunderbird 137.0.2 haben die Entwickler der Mozilla-Tochter MZLA die Ursache für einen Programmabsturz unter Linux behoben. Der tritt beim Programmstart auf, wenn Thunderbird versucht, ein Tray-Symbol anzulegen. In der Langzeitausgabe Thunderbird 128.9.2esr hatten die MZLA-Entwickler etwas mehr zu tun. Vor allem haben sie ein Problem mit Office 365 beseitigt. Die Zwei-Faktor-Authentifizierung mittels OAuth2 hat nicht funktioniert. Außerdem gab es Probleme mit unsichtbaren IRC-Kanälen sowie mit ungültigen Kalendereinträgen in Mails.Thunderbird Mobile: iOS-AppSeit November 2024 gibt es Thunderbird für Android. Thunderbird für iOS ist ebenfalls angekündigt und jetzt hat MZLA das entsprechende Github-Repository öffentlich gemacht. Während Thunderbird für Android aus einer bestehenden und ausgereiften Mail-App abgeleitet wurde, mussten die Entwickler bei der iOS-App praktisch bei null anfangen. So ist es wenig verwunderlich, wenn der Code bislang nur einen Begrüßungsbildschirm zustande bringt. Bis Jahresende soll eine Vorabversion mit Basisfunktionen entstehen, die jedoch noch weit von einer für iOS-Nutzer einsetzbaren App entfernt sein wird.Auch interessant: große Zukunftspläne für Thunderbird
Autor: Frank Ziemann, Autor,Frank Ziemann ist seit 2005 als freier Autor für die tätig, schreibt News und Testberichte. Seine Themenschwerpunkte sind IT-Sicherheit und Internet-Technik.Aktuelle Beiträge von Frank Ziemann:
Die neuesten Sicherheits-Updates
Neues Chrome-Update beseitigt kritische Sicherheitslücke – Brave und Vivaldi sind abgesichert
Oracles April-Updates schließen weit über 300 Sicherheitslücken•
Die neuesten Sicherheits-Updates
•
Neues Chrome-Update beseitigt kritische Sicherheitslücke – Brave und Vivaldi sind abgesichert
•
Oracles April-Updates schließen weit über 300 Sicherheitslücken