Wegens een zeer ernstig beveiligingslek in Java hebben zowel Apple als Mozilla besloten om de plug-in proactief te blokkeren om zo gebruikers te beschermen. De kwetsbaarheid bevindt zich in Java 7 Update 10 en mogelijk ook oudere versies. Cybercriminelen zouden het lek mogelijk al sinds halverwege december gebruiken om internetgebruikers te infecteren. Een update is nog altijd niet voorhanden.

Om Firefox-gebruikers te beschermen heeft Mozilla besloten om voor Java op alle platformen 'Click to Play' in te schakelen. Het gaat zowel om Java 6 Update 37 en 38 als Java 7 Update 9 en Update 10. Bij Firefox-gebruikers met een oudere Java-versie was Click to Play al ingeschakeld.

De Click to Play feature zorgt ervoor dat de Java plug-in niet wordt geladen tenzij een gebruiker hier zelf voor kiest door op een knop te klikken. Dit zou volgens Mozilla drive-by downloads via het nieuwe lek moeten voorkomen. Door de maatregel kunnen gebruikers Java per site inschakelen indien het op een pagina vereist is, laat Mozilla's Michael Coates weten.

Naast Mozilla ging ook Apple tot actie over, alleen deed dat zonder verdere aankondiging, aldus Mac-beveiliger Intego. De in Mac OS X ingebouwde virusverwijderaar XProtect is van een update voorzien die Java 7 uitschakelt totdat er een beveiligingsupdate beschikbaar is.