В JDK 7u10 реализована блокировка Java-апплетов в браузере Компания Oracle выпустила Java SE Development Kit 7, Update 10 (JDK 7u10), в котором исправлен ряд уязвимостей в безопасности, а также реализовано одно важное изменение. С помощью JDK 7u10 пользователь может запретить запуск любого приложения Java в браузере, через плагин Java. Такой режим устанавливается через Java Control Panel или (при установке под Windows) с помощью соответствующего ключа в командной строке, во время инсталляции. Это очень важное нововведение, которое указывает на то, что компания Oracle признаёт наличие серьёзной проблемы с безопасностью Java-апплетов. Как известно, из-за многочисленных 0day-уязвимостей и эксплойтов для Java специалисты по безопасности в августе 2012 года даже рекомендовали полностью отключить Java-плагин во всех браузерах. Компания Oracle довольно неторопливо закрывает обнаруженные уязвимости, поэтому Java-эксплойты в последнее время стали одним из самых эффективных инструментов в эксплойт-паках, особенно учитывая их работоспособность одновременно на нескольких платформах и распространённость этой технологии. Теперь пользователь может установить «уровень безопасности» для неподписанных Java-апплетов, приложений Java Web Start и встроенных приложений JavaFX, которые могут работать в браузере. Поддерживается четыре уровня безопасности. При установке под Windows можно использовать один из параметров в командной строке. WEB_JAVA=0 запрещает исполнение Java-апплетов в браузере. WEB_JAVA_SECURITY_LEVEL=VH устанавливает уровень безопасности “very high”. WEB_JAVA_SECURITY_LEVEL=H устанавливает уровень безопасности “high”. WEB_JAVA_SECURITY_LEVEL=M устанавливает уровень безопасности “medium”. WEB_JAVA_SECURITY_LEVEL=L устанавливает уровень безопасности “low”. Кроме того, реализован новый диалог, который предупреждает о «низком уровне безопасности JRE» в случае, если необходимо выполнить обновление или выбраны слабые настройки безопасности. 18.12.2012 http://www.xakep.ru/post/59831/