Gebruikers die zich tegen de lawine van Java-aanvallen willen beschermen kunnen de software zonder gevolgen verwijderen, maar voor bedrijven is dit een heel ander verhaal. "Java is altijd een standaard onderdeel van exploitkits geweest, die meestal één twee of drie Java exploits bevatten", zegt Don Jackson van SecureWorks. Hij merkt op dat gebruikers gewoon alle Java versies kunnen verwijderen. Het uitschakelen van alleen de plugin in de browser is volgens hem niet voldoende, aangezien tenminste één recent lek geen browsertoegang nodig heeft om Java te misbruiken.

Bij veel bedrijven wordt Java voor zeer belangrijke interne applicaties gebruikt. Daarbij gebruiken veel bedrijven vaak oude en ongepatchte versies van Java om hun applicaties te laten werken, merkt Jackson op, die zelf een voormalige Java-ontwikkelaar is. "De manier waarop je een deel van de lagere applicatielogica schrijft, is zeer afhankelijk van de Java-versie die je draait." En als de Java-versie al wordt geüpgraded, laat het standaard oude versies achter op het systeem. Daarnaast is het lastig om binnen een organisatie te achterhalen welke Java-versies men allemaal draait.

Whitelist
Bedrijven zouden in het ideale geval alleen de laatste versies moeten gebruiken. En hoewel het updaten van applicaties om met de laatste versie te werken kostbaar is, zijn de beveiligingsvoordelen het meer dan waard, zegt Gerhard Eschelbeck, CTO van Webroot. "De reden dat aanvallers zich op Java richten komt omdat bedrijven zeer nauwgezet lekken in Office en Adobe vinden en verhelpen. We moeten hetzelfde met Java doen." De experts stellen verder dat bedrijven moeten voorkomen dat externe Java code binnenkomt en dat interne servers op een whitelist worden geplaatst.