Sicherheitslücke in Thunderbird kann Anmeldedaten leaken
Verfasst: Samstag 14. Juni 2025, 01:14
Eine Thunderbird-Lücke kann unerwünschte Datei-Downloads zur Folge haben und Anmeldeinformationen offenlegen. Anwender sollten dringend patchen.
Mozilla hat eine gefährliche Sicherheitslücke in Thunderbird gepatcht, die es Angreifern ermöglicht, Anmeldeinformationen von Windows-Nutzern abzugreifen. Entsprechende Updates sind seit Dienstag verfügbar und sollten zeitnah installiert werden. Als geschützt gelten die Thunderbird-Versionen 139.0.2 und 128.11.1. Es gebe aber auch noch eine andere Möglichkeit, sich zu schützen.
ie besagte Sicherheitslücke ist als CVE-2025-5986 registriert und mit einem CVSS-Wert von 6,5 als mittelschwer eingestuft. Ausnutzen lässt sie sich demnach aus der Ferne und ohne vorherigen Zugriff auf das Zielsystem. Die Angriffskomplexität ist dabei gering. Mozilla selbst bescheinigt der Lücke im Hinblick auf die möglichen Auswirkungen ein hohes Risiko.
Unerwünschte Datei-Downloads
Laut Schwachstellenbeschreibung kann CVE-2025-5986 automatische und unaufgeforderte PDF-Datei-Downloads zur Folge haben – und das selbst dann, wenn das automatische Speichern deaktiviert ist. Der Angreifer muss dafür lediglich eine speziell präparierte HTML-E-Mail mit einem mailbox:///-Link an die Zielperson senden. Das reine Betrachten der E-Mail im HTML-Modus soll dann ausreichen, um die Lücke auszunutzen.
Die jeweilige PDF-Datei landet daraufhin ungefragt auf dem Desktop oder im Arbeitsverzeichnis des Thunderbird-Nutzers. Einerseits kann der Angreifer damit die Festplatte der Zielperson mit Datenmüll befüllen. Andererseits soll es laut Mozilla aber auch möglich sein, über SMB-Links Windows-Anmeldeinformationen auszuspähen, wenn die E-Mail des Angreifers im HTML-Modus angezeigt wird.
Patchen oder HTML-Modus deaktivieren
Wie das mit den Anmeldeinformationen im Detail funktioniert, erklärt Mozilla nicht. Naheliegend wäre aber, dass damit keine Klartextpasswörter, sondern lediglich NTLM-Hashes gemeint sind, die ein Angreifer anschließend im Rahmen einer Authentication-Relay-Attacke missbrauchen kann, um sich ohne Kenntnis des Passworts an einem Zielsystem anzumelden. Ähnliches war auch schon bei Outlook möglich.
Wer sich vor entsprechenden Angriffen schützen will, sollte seinen Thunderbird je nach Update-Kanal auf Version 139.0.2 respektive 128.11.1 aktualisieren. Da der Angriffsvektor auf den HTML-Modus angewiesen ist, dürfte das ausschließliche Betrachten von E-Mails im Reintext aber ebenfalls einen ausreichenden Schutz bieten.
Mozilla hat eine gefährliche Sicherheitslücke in Thunderbird gepatcht, die es Angreifern ermöglicht, Anmeldeinformationen von Windows-Nutzern abzugreifen. Entsprechende Updates sind seit Dienstag verfügbar und sollten zeitnah installiert werden. Als geschützt gelten die Thunderbird-Versionen 139.0.2 und 128.11.1. Es gebe aber auch noch eine andere Möglichkeit, sich zu schützen.
ie besagte Sicherheitslücke ist als CVE-2025-5986 registriert und mit einem CVSS-Wert von 6,5 als mittelschwer eingestuft. Ausnutzen lässt sie sich demnach aus der Ferne und ohne vorherigen Zugriff auf das Zielsystem. Die Angriffskomplexität ist dabei gering. Mozilla selbst bescheinigt der Lücke im Hinblick auf die möglichen Auswirkungen ein hohes Risiko.
Unerwünschte Datei-Downloads
Laut Schwachstellenbeschreibung kann CVE-2025-5986 automatische und unaufgeforderte PDF-Datei-Downloads zur Folge haben – und das selbst dann, wenn das automatische Speichern deaktiviert ist. Der Angreifer muss dafür lediglich eine speziell präparierte HTML-E-Mail mit einem mailbox:///-Link an die Zielperson senden. Das reine Betrachten der E-Mail im HTML-Modus soll dann ausreichen, um die Lücke auszunutzen.
Die jeweilige PDF-Datei landet daraufhin ungefragt auf dem Desktop oder im Arbeitsverzeichnis des Thunderbird-Nutzers. Einerseits kann der Angreifer damit die Festplatte der Zielperson mit Datenmüll befüllen. Andererseits soll es laut Mozilla aber auch möglich sein, über SMB-Links Windows-Anmeldeinformationen auszuspähen, wenn die E-Mail des Angreifers im HTML-Modus angezeigt wird.
Patchen oder HTML-Modus deaktivieren
Wie das mit den Anmeldeinformationen im Detail funktioniert, erklärt Mozilla nicht. Naheliegend wäre aber, dass damit keine Klartextpasswörter, sondern lediglich NTLM-Hashes gemeint sind, die ein Angreifer anschließend im Rahmen einer Authentication-Relay-Attacke missbrauchen kann, um sich ohne Kenntnis des Passworts an einem Zielsystem anzumelden. Ähnliches war auch schon bei Outlook möglich.
Wer sich vor entsprechenden Angriffen schützen will, sollte seinen Thunderbird je nach Update-Kanal auf Version 139.0.2 respektive 128.11.1 aktualisieren. Da der Angriffsvektor auf den HTML-Modus angewiesen ist, dürfte das ausschließliche Betrachten von E-Mails im Reintext aber ebenfalls einen ausreichenden Schutz bieten.