Okay, ihr habt Recht. Ich hatte einen kleinen aber entscheidenden Teil übersehen:
ZitatPin mozilla-esr91 (FIREFOX_91_4_0esr_BUILD1+b6173cd78c9d)
Man hat also einen etwas späteren Code-Stand für Thunderbird genommen, der den NSS-Fix bereits enthält. Das hatte ich in meinen ersten Recherchen übersehen und daher (falsch) gedacht, dass in Thunderbird 91.4.0 die Sicherheitslücke noch nicht repariert sei.
Gut zu wissen ist also nach jetzigem Wissensstand:
Thunderbird 91.4.0 ist diesbezüglich (NSS / BigSig-Sicherheitslücke) wieder sicher.