Java es una de las grandes fuentes de inseguridad en los navegadores web, y lo demuestran noticias como esta. Se ha descubierto un nuevo ataque Día Cero usando una vulnerabilidad de Java desconocida, y está siendo explotada activamente en Internet. La única opción por el momento para solucionarlo es desactivar Java en los navegadores.
Compañías como Apple ya no envían sus equipos con Java preinstalado por los riesgos que representa en Internet. En este caso, recomiendo que se desinstale Java de los equipos si no se necesita, independientemente del sistema operativo y navegador que se utilice, y si lo usas para programar, usarlo en una máquina virtual para tenerlo lo más aislado posible, o tener un equipo dedicado para el desarrollo de aplicaciones.
El centro de emergencias de EE.UU (US-CERT) ha emitido una notificación al respecto, indicando que Java 7 Update 10 contiene una vulnerabilidad sin especificar que permite a un atacante remoto sin autenticar ejecutar código arbitrario en un sistema vulnerable. Está siendo usada activamente, y el usuario con solo visitar una página web con cierto código incrustado se verá afectado por la ejecución de código arbitrario en su sistema.
La vulnerabilidad ha sido descubierta por un usuario llamado Kafeine, y confirmado por diversas empresas de seguridad informática como AlienVault Labs.