Java != JavaScript. Dass die beiden Sachen nicht gleich sind sollte dir klar sein und wenn nicht einfach mal Wikipedia oä. befragen.
Mittels JavaScript Webseiten oder Besucher zu infizieren ist ohne weiteres nicht möglich. Natürlich kann es Lücken geben, aber selbst wenn gibt es nur bestimmte Anwendungsbeispiele, die daraus folgen können. Bspw Cookies stealen und Phising-Weiterleitungen. Also am besten nochmal nachschauen, was wie genutzt werden kann und welche möglichen Folgen daraus entstehen können.
MfG