**
Die Mozilla Foundation hat am 21. April 2026 ein kritisches Sicherheitsupdate für ihren E-Mail-Client Thunderbird veröffentlicht. Version 150 behebt mehrere hochriskante Schwachstellen, die Speicherkorruption oder die Ausführung von Schadcode ermöglichen könnten. Besonders betroffen sind Komponenten, die Thunderbird mit dem Firefox-Browser teilt.
Warum Cyberkriminelle gerade kleine und mittelständische Unternehmen ins Visier nehmen — ein kostenloses E-Book zeigt, welche neuen Bedrohungen 2024 auf Sie zukommen und wie Sie sich ohne großes Budget schützen. IT-Sicherheitslücken jetzt proaktiv schließen
Schwachstellen im Detail: Von Use-After-Free bis Speicherfehler
Die Sicherheitswarnung MFSA 2026-33 listet mehrere kritische Fehler auf, die vor allem in den gemeinsam genutzten Kernkomponenten von Thunderbird und Firefox stecken. Am schwerwiegendsten ist CVE-2026-6746 – eine Use-After-Free-Lücke im DOM-Core- und HTML-Bereich, entdeckt von einem Forscherteam um Evyatar Ben Asher, Keane Lucas und Alex Gaynor.
Die gute Nachricht: Beim normalen E-Mail-Lesen sind diese Lücken schwer auszunutzen, da Skripte standardmäßig deaktiviert sind. Anders sieht es in browserähnlichen Kontexten aus – etwa beim Rendern komplexer Webinhalte oder über spezielle Erweiterungen.
Weitere behobene Lücken im Überblick:
– CVE-2026-6747: Use-After-Free in der WebRTC-Komponente, potenziell ausnutzbar bei Echtzeit-Kommunikation
– CVE-2026-6754: Hochriskante Use-After-Free-Lücke in der JavaScript-Engine
– CVE-2026-6750: Privilegienausweitung in der WebRender-Grafikkomponente, entdeckt von Forscher choeseyeong
Hinzu kommen mehrere Speichersicherheitsfehler (CVE-2026-6784 bis CVE-2026-6786). Mozilla bestätigte, dass einige dieser Fehler eindeutige Anzeichen von Speicherkorruption zeigten – ein klares Indiz für mögliche Code-Ausführung. Die Fixes wurden auch auf die Extended Support Release (ESR) Version 140.10 übertragen.
Datenabfluss per CSS: Die unterschätzte Gefahr
Bereits Ende Januar 2026 hatten Sicherheitsforscher von SentinelOne eine ungewöhnliche Schwachstelle aufgedeckt: CVE-2026-0818 nutzte eine fehlerhafte Ausgabe-Kodierung aus. Angreifer konnten damit E-Mail-Inhalte Buchstabe für Buchstabe abgreifen – über CSS-Selektoren und das Laden externer Ressourcen.
Konkret: Eine präparierte E-Mail konnte bestimmte Schutzmechanismen umgehen, wenn das Laden externer Inhalte aktiviert war. Durch CSS, das abhängig vom E-Mail-Inhalt externe Ressourcen nachlud, gelangten sensible Daten auf Angreifer-Server. Besonders betroffen: teilweise verschlüsselte Kommunikation.
Mozilla schloss diese Lücke bereits im Frühjahr mit Thunderbird 147.0.1 und ESR 140.7.1. Sicherheitsexperten raten weiterhin, das Laden externer Inhalte in den Datenschutzeinstellungen zu deaktivieren – als primäre Schutzmaßnahme für Nutzer, die nicht sofort patchen können.
Die Nebula-Architektur: Mehr Tempo, neue Herausforderungen
Seit Mitte 2024 setzt Thunderbird auf die „Nebula“-Architektur (eingeführt mit Version 128). Der Wechsel brachte einen monatlichen Feature-Release-Zyklus ähnlich dem Firefox-Rapid-Release-Kanal, während die jährliche ESR für Unternehmen und Stabilitätsorientierte erhalten blieb.
Ziel der Modernisierung: schnellere Sicherheitsupdates und ein stabileres Fundament. Die ESR 140 und folgende Versionen bieten laut Mozilla einen vorhersagbaren Sicherheits-Baseline über 15 Monate nach einem Major-Update.
Parallel dazu weitete das Projekt seinen Sicherheitsfokus aus: Ende 2025 ließ Mozilla gemeinsam mit dem Open Source Technology Improvement Fund (OSTIF) und 7ASecurity den Thunderbird Send-Dienst einem umfassenden Sicherheitsaudit unterziehen. Hintergrund sind die „Thunderbird Pro“-Dienste, die Nutzern mehr Datenkontrolle ohne Drittanbieter versprechen.
Rekord-Schäden durch Phishing zeigen, dass technische Updates allein oft nicht ausreichen, um sensible Unternehmensdaten zu schützen. Experten erklären im kostenlosen Anti-Phishing-Paket, wie Ihr Unternehmen sich durch gezielte Awareness-Kampagnen wirksam absichern kann. Anti-Phishing-Paket jetzt kostenlos herunterladen
Technische Analyse: Das Memory-Management-Problem
Moderne E-Mail-Clients sind komplexe Multifunktionsanwendungen – und damit lohnende Ziele für Angreifer. Da Thunderbird auf der Gecko-Rendering-Engine basiert, erbt es viele Sicherheitsherausforderungen moderner Webbrowser. Die wiederkehrenden Use-After-Free- und Double-Free-Lücken (wie CVE-2025-5262 aus dem Vorjahr) zeigen: Speicherverwaltung bleibt die größte technische Hürde für das Entwicklungsteam.
Am 29. April 2026 stufte auch Red Hat in seiner Sicherheitswarnung (RHSA-2026:11813) für Thunderbird auf Red Hat Enterprise Linux 10.0 die aktuellen Lücken als „Important“ ein. Zusätzlich wurden Schwachstellen in der libpng-Bibliothek (CVE-2026-33416 und CVE-2026-33636) behoben, die durch Out-of-Bounds-Reads bei der Bildverarbeitung Code-Ausführung oder Denial-of-Service ermöglichen konnten.
Systemadministratoren sollten beachten: Die Auswirkungen hängen stark von den Benutzerrechten ab. Administratoren mit vollen Rechten sind am stärksten gefährdet – Angreifer könnten Programme installieren oder Daten manipulieren. Eingeschränkte Nutzerkonten sind weniger betroffen, bleiben aber durch Datenabfluss verwundbar.
Ausblick: Exchange-Support und härtere Sicherheitsstandards
Mit Version 150 hat Thunderbird die Kernfunktionen des Nebula-Zyklus stabilisiert – auch wenn Entwickler einräumen, dass umfangreiche Tests oft erst sekundäre Probleme zutage fördern.
In den kommenden Monaten plant Mozilla die Integration nativer Microsoft-Exchange-Unterstützung über das EWS-Protokoll in die stabilen Versionen. Das soll die Abhängigkeit von Drittanbieter-Add-ons reduzieren, die historisch eine Quelle für Sicherheitsrisiken darstellten.
Für die unmittelbare Zukunft gilt: Update auf Thunderbird 150 oder ESR 140.10 ist Pflicht. Organisationen sollten die Bereitstellung priorisieren, um die hochriskanten Speichersicherheitslücken zu schließen. Wo Updates nicht sofort möglich sind, bleiben Netzwerk-Filter und das Blockieren externer Inhalte die wirksamsten Übergangslösungen.
