Chrome Just Dropped a Nuclear-Level Patch — Are Your Passwords Already Toast?
谷歌Chrome刚刚发布了核弹级补丁——你的密码还安全吗?

www.forbes.com
Google just dropped its second emergency Chrome update in a week — and this one’s no joke. CVE-2025-12036 lets hackers run arbitrary code just by you visiting a malicious site. No clicks, no downloads. Just open a page, and boom: your browser is their playground.
谷歌一周内连发两个Chrome紧急更新——这次可不闹着玩的。CVE-2025-12036漏洞允许黑客仅通过你访问恶意网站就执行任意代码。无需点击、无需下载。只要打开页面,砰的一声:你的浏览器就成了他们的游乐场。
And get this — while Google scrambles to patch the browser, malware crews are already two steps ahead. Vidar Stealer 2.0 now bypasses Chrome’s AppBound encryption like it’s nothing. That means even your ‘secured’ passwords could be vacuumed up silently. Oh, and iOS users? Still getting zero security fixes. Again. Because Apple.
更劲爆的是——谷歌还在拼命打补丁,恶意软件团伙已经领先两步。Vidar Stealer 2.0现在轻松绕过Chrome的AppBound加密,仿佛形同虚设。这意味着你自以为‘加密保护’的密码也可能被悄悄吸走。还有,iOS用户?依然收不到任何安全更新。又是如此。反正苹果嘛。
CVE-2025-12036是V8引擎中的直接远程代码执行漏洞。这可是浏览器的核心命门。如果你还在用未打补丁的Chrome,就等于把信用卡递给黑客说:‘来吧,随便刷’。
等等,如果我开了50个标签页,其中有一个是恶意网站,我就已经中招了?这哪是浏览器,分明是开着自动播放广告的俄罗斯轮盘赌。
Chrome本来就是个吃资源的大户。Safari更安全、更快,而且真正尊重你的隐私。这次全网恐慌,不过是谷歌把Chrome变成广告投放平台应得的报应。
我们已经在野外发现了Vidar Stealer 2.0。它用多线程提取技术,在3秒内就能捞走cookie、密码和加密密钥。而且没错,它根本不在乎AppBound加密。现在不打补丁,就准备好写事故报告吧。
我就想安安静静地收个邮件,别让我变成网络犯罪案例研究对象。这要求过分吗?
如果你还在用浏览器自带的密码管理器,那就像和一个拿着喷火器的幼儿下四维国际象棋。关闭自动填充,使用真正的密码管理器,永远别让‘方便’凌驾于安全之上。
我们昨天全公司推送了Chrome更新。40%的用户无视了重启提示。所以啊,如果人类是最后一道防线,那这防线基本等于喝醉了。