De lekken in Thunderbird kunnen alleen worden misbruikt als gebruikers JavaScript toestaan in hun mails. Standaard staat deze mogelijkheid uit. "We raden gebruikers ten sterkste af om JavaScript uit te voeren in mails", adviseerde Mozilla.org eerder al in een security advisory.

De lekken zaten in de Firefox engine die het e-mailprogramma gebruikt voor de weergave van html in mailberichten. Eind maart dichtte Mozilla al vergelijkbare lekken in Firefox zelf.

Volgens David Ascher, CEO van Mozilla Messaging, liet de reparatie van de lekken in Thunderbird wat langer op zich wachten vanwege een tekort aan bekwame programmeurs. Omdat Firefox veel meer gebruikers heeft dan Thunderbird, kreeg de browser voorrang bij het oplossen van de problemen.

Op zijn blog geeft Ascher toe dat deze keuze niet eenvoudig was. Door de update voor Firefox eerder uit te brengen, werd het immers eenvoudiger om een eventuele exploit te maken gericht op Thunderbird-gebruikers. Toch besloot Mozilla om de updates voor Firefox en Thunderbird niet gelijktijdig uit te brengen. "Dat zou hebben betekend dat 150 miljoen Firefox-gebruikers langer kwetsbaar waren geweest."

Bovendien: "Omdat de meerderheid van de Firefox-gebruikers JavaScript als default aan heeft staan, meenden we dat Firefox-gebruikers meer risico liepen dan Thunderbird-gebruikers." Bron: Techworld