diese hier:

Man muss leider nach wie vor empfehlen, Java im Browser standardmäßig zu deaktivieren.

Wie peinlich...

Aber es wird ja alles besser, wenn erst Oracle sein Java auf OS X pflegt

Ab wann wird das sein?

Vor dem Hintergrund, dass sie seit April von über 20 gemeldeten gefährlichen Lücken wissen und bis vor wenigen Wochen davon erst 2 gefixt haben und mit dem letzten Update vor wenigen Tagen wiederum nur erst 4 weitere gefixt haben, also noch einige zu fixende in der Pipeline stehen:

Ohne wenn und aber: ein ganz klares Ja!

In gewisser Weise IST es schon besser geworden.
Oder hast Du von Apple schon irgendwo ein Update für Java6u34 erhalten geschweigedenn ein Update auf Java6u35 der vergangenen Woche? Oracle hat geliefert. Sowohl Java7 betreffend als auch Java6 betreffend. Apple, ihren Verantwortungsbereich Java6 unter OSX betreffend, bislang nicht. Apple hinkt mittlerweile jetzt schon 2 Updates hinterher, Apples Java bei den Nutzern ist immer noch Java6u33. Und die Sicherheitslücken, die derzeit in Rede sind und ausgenutzt werden, betreffen nicht nur Java7, sondern teilweise auch Java6, wurden mit Java6u34 und Java6u35 von Oracle wenigstens teilweise gefixt.
Und für Java6 unter OSX ist nicht Oracle zuständig sondern Apple. In Apples ADC-Downloadbereich für Entwickler steht diesbzgl. an Java-Updates zum Testen bereit: Nichts. Null. Nada.

Oracle kann man zurecht einen Vorwurf machen und sie dafür schelten, dass da seit April bisher so wenig geschenen ist und jetzt erst unter dem Druck der Ereignisse.
Doch für Apples nochmal draufgesattelten Verzug in Bezug auf das von ihnen verantwortete Java 6 für OSX gibt es erst recht keine Worte. Wer sich also jetzt (zurecht) über Oracles Lahmarschigkeit aufregt, der sollte Apple diesbzgl. erst recht eines hinter die Löffel geben, denn für deren nochmal zusätzlichen Verzug, an die Nutzer auszuliefern gibt es erst vor diesen Hintergründen und vor diesen gehabten Erlebnissen der jüngsten Vergangenheit recht keine Entschuldigung.

Da bekleckern sich beide Unternehmen derzeit nicht mit Ruhm. Wobei Oracle ja derzeit wenigstens was tut und Aktion zeigt (zwar mit Verspätung, aber immerhin). Und bei Apple derzeit, deren Zuständigkeitsbereich betreffend, leider immer noch noch nicht mal ansatzweise Regung zu verspüren ist. War der erlebte GAU im Frühjahr nicht Lehre genug, es fortan anders und besser zu machen und sich solche Zeitverzüge fortan nicht mehr zu erlauben, da sie einen hart treffen können und großen Schaden anrichten können, wenn man seine Nutzer so lange im Regen stehen lässt?

Reicht es denn wirklich aus, das Ding nur in den Security Einstellungen des Browsers auszuschalten?

Betrifft das Problem eigentlich nur Java oder auch Javascript?

Ohne das Java-PlugIn in Safari kann ich leben, ohne Javascript wirds schon beschwerlicher.