Mozillas Thunderbird ist verwundbar. Antworten Opfer auf eine manipulierte Mail, könnten sie unwissentlich Informationen an eine von Angreifern kontrollierte Website übermitteln. Auch eine DoS-Attacke ist vorstellbar.
Am gefährlichsten gilt die Datenleak-Lücke (CVE-2022-3033 „hoch„). Antworten Opfer auf eine mit bestimmten HTML-Attributen und -Elementen versehene Mail, könnten Angreifer JavaScript-Code im Kontext des Dokuments zum Verfassen der Nachricht auszuführen. Dadurch könnten sie Mozilla zufolge etwa den Inhalt ändern oder Teile der Antwort an eine von ihnen kontrollierte URL weiterleiten. Thunderbird-Nutzer, die die Standardeinstellung zur Anzeige des Nachrichtentextes auf „simlple html“ oder „plain text“ gestellt haben, sind von der Lücke nicht betroffen.
Außerdem könnten Angreifer an drei weiteren Lücken ansetzen und etwa beim Einsatz des Matrix-Chat-Protokolls einen DoS-Zustand herbeiführen. Diese Schwachstellen sind als „moderat“ eingestuft. Die Entwickler geben an, die Sicherheitsprobleme in Thunderbird 102.2.1 gelöst zu haben.