Mozilla schließt mit dem neuen Thunderbird 150 kritische Sicherheitslücken und erweitert den E-Mail-Client um praktische Funktionen. Die am 21. April 2026 veröffentlichte Version adressiert eine Reihe von hochriskanten Schwachstellen, die potenziell zur Ausführung von Schadcode führen könnten. Parallel erscheint die Extended Support Release (ESR) 140.10 für Unternehmenskunden.
Kritische Sicherheitslücken geschlossen
Im Zentrum des Updates stehen mehrere Sicherheitspatches, die in der Mozilla Foundation Security Advisory (MFSA) 2026-33 detailliert beschrieben sind. Besonders schwerwiegend sind die Speichersicherheitslücken CVE-2026-6785 und CVE-2026-6786. Mozilla warnt, dass diese bei ausreichendem Aufwand für Remote Code Execution (RCE) ausgenutzt werden könnten – auch wenn bisher keine aktiven Angriffe bekannt sind.
Während Software-Updates wie bei Thunderbird essenziell sind, müssen Unternehmen ihre IT-Sicherheit heute ganzheitlich betrachten, um sich gegen komplexe Angriffe zu wappnen. Dieses kostenlose E-Book enthüllt aktuelle Bedrohungsszenarien und zeigt, wie Sie Sicherheitslücken ohne teure Investitionen effektiv schließen. Cyber Security E-Book jetzt kostenlos herunterladen
Die Schwachstellen liegen vor allem in der zugrundeliegenden Web-Engine. Dazu zählen Use-after-free-Fehler in der DOM- und HTML-Komponente (CVE-2026-6746) sowie im WebRTC-Modul (CVE-2026-6747). Zudem wurden Probleme mit nicht initialisiertem Speicher in Web Codecs (CVE-2026-6748, CVE-2026-6751) und ein Risiko der Datenpreisgabe in der Canvas2D-Grafikkomponente (CVE-2026-6749) behoben.
Doch wie groß ist die Gefahr im Alltag? Mozilla gibt Entwarnung für die normale E-Mail-Nutzung: Da Skripte beim Anzeigen von Nachrichten standardmäßig deaktiviert sind, sind die Lücken über einfache E-Mails nicht ausnutzbar. Das Risiko besteht primär in „browser-ähnlichen Kontexten“, etwa beim Rendern komplexer Webinhalte.
Neue Funktionen für mehr Produktivität
Neben der Sicherheit bringt Thunderbird 150 acht neue Features mit. Ein Durchbruch für Nutzer verschlüsselter Kommunikation: Erstmals können Suchanfragen auch im Textkörper von OpenPGP- und S/MIME-verschlüsselten E-Mails durchgeführt werden. Bisher musste man Nachrichten manuell entschlüsseln, um nach bestimmten Inhalten zu suchen – ein mühsamer Prozess.
Weitere Neuerungen zielen auf bessere Bedienbarkeit ab:
* Unauffällige Signaturen für OpenPGP, die Nachrichten für Empfänger ohne entsprechende Software lesbarer machen.
* Eine Option für benutzerdefinierte Akzentfarben in den Darstellungseinstellungen.
* Die Möglichkeit, Kontakte aus dem Adressbuch direkt als vCard-Daten in die Zwischenablage zu kopieren.
* Alphabetische Sortierung der „Zuletzt verwendeten Empfänger“.
* Touchscreen-Unterstützung für die Monats- und Mehrwochenansicht im Kalender.
Stabilitätsverbesserungen und Fehlerbehebungen
Das Update behebt etwa ein Dutzend gemeldete Probleme, die die Stabilität früherer Versionen beeinträchtigten. Dazu gehören ein Fehler, der POP3-Downloads zum Absturz brachte, sowie ein Bug, der beim Anlegen neuer Ordner zu Programmabstürzen führte.
Neben technischen Schwachstellen in Programmen nutzen Cyberkriminelle immer häufiger psychologische Taktiken, um Zugriff auf Unternehmensdaten zu erhalten. Erfahren Sie in diesem Gratis-Report, wie Sie sich in vier Schritten wirksam gegen Phishing und betrügerische E-Mails absichern. Kostenloses Anti-Phishing-Paket für Unternehmen anfordern
Für Unternehmensumgebungen sind die Patches für Exchange-Server besonders relevant: Speicherlecks durch gegenseitige Objektverweise wurden geschlossen, und Authentifizierungsfehler bei einigen Exchange-Konten sind behoben.
Auch der Kalender profitiert: Die Option „In neues Fenster verschieben“ für Termine ist zurück, und ein Darstellungsfehler, bei dem in bestimmten Ansichten Datums- und Zeitachse vertauscht waren, wurde korrigiert. Der integrierte PDF-Viewer erlaubt nun das direkte Neuanordnen von Seiten.
Hintergrund: Ein fortlaufender Sicherheitsprozess
Die Veröffentlichung von Version 150 und ESR 140.10 ist Teil einer Serie von Sicherheitsupdates in diesem April. Bereits Anfang des Monats wurden in den Versionen 149.0.2 und 140.9.1 frühere Schwachstellen (CVE-2026-5731 bis CVE-2026-5735) geschlossen.
Die Häufigkeit der Advisories unterstreicht die Herausforderung, ein komplexes Tool zu warten, das Webtechnologien mit sensiblen Kommunikationsprotokollen verbindet. Indem Mozilla Use-after-free-Fehler und Probleme mit nicht initialisiertem Speicher angeht, bekämpft es die häufigsten Einfallstore für Remote-Angriffe.
Die Schwere der behobenen Lücken spiegelt sich in CVSS-Bewertungen von Sicherheitsfirmen wie Tenable wider, die für einige Schwachstellen Basiswerte von bis zu 10.0 vergeben. Die praktische Gefahr wird jedoch durch Thunderbirds standardmäßig restriktive Sicherheitsarchitektur deutlich gemindert.
Ausblick und Empfehlungen
Mozilla rät allen Nutzern zur umgehenden Installation von Thunderbird 150 oder der neuesten ESR-Version. Das Update ist für Windows 10 oder neuer, macOS 10.15 oder neuer und Linux-Distributionen mit GTK+ 3.14 oder höher verfügbar. Die meisten Anwender erhalten es automatisch; ein manueller Check ist über „Über Thunderbird“ möglich.
Die neuen Suchtools für verschlüsselte Mails deuten an, dass Mozilla den Fokus auf professionelle Nutzer legt, die sowohl hohe Sicherheit als auch Produktivität benötigen. Zukünftige Updates dürften diesen Trend fortsetzen, mit weiteren Verbesserungen am Account Hub und möglicherweise erweiterter OAuth2-Unterstützung.
Für Unternehmen bietet die ESR 140.10 im kommenden Quartal vor allem eines: Stabilität. Sie gewährleistet Sicherheit auf dem Niveau der Hauptversion, ohne dass ständig neue Oberflächenfeatures eingeführt werden.
