Es cierto, se recomienda desactivar de momento independientemente de la plataforma y navegador utilizado:
Citar
Java 7 Update 10 y anteriores contienen una vulnerabilidad no especificada que puede permitir de manera remota a un atacante no identificado ejecutar código arbitrario en los sistemas vulnerables. Esta actualización y anteriores contienen un código remoto de ejecución vulnerables. Esta vulnerabilidad está siendo atacada incorporada en paquetes de exploits. Lo hace convenciendo a un usuario para que visite un documento HTML especialmente diseñado, de ahí, el atacante podría ejecutar código arbitrario en un sistema vulnerable.