Java 7 和 OpenJDK 共享很多通用代码，因此，一般来说，Java 7 中的安全问题也适用于 OpenJDK。在那种特定情况下，似乎该漏洞是在 Debian OpenJDK 软件包中报告的，所以是的，它们很容易受到攻击。在另一个 stackexchange 站点上查看此问题。由于 Oracle 似乎已经修复了他们的 JDK，因此同样的修复很可能会在几个小时或几天后出现在 OpenJDK 中。

从好的方面来说，如果您使用 OpenJDK 和 IcedTea，那么您很有可能使用 Linux。恶意软件作者很少针对 Linux 系统，因为使用 Linux 机器浏览 Web 的人并不多，而且有很多不同的“Linux 系统”使得编写一段二进制代码（如恶意软件）变得困难它将在其中大多数上运行（Linux 生态系统依赖于源代码分发和每个分发包，而不是真正的二进制兼容性）。因此，恶意软件作者通常认为 Linux“不值得努力”。这在很大程度上解释了 Linux 上恶意软件的稀缺性。

我的直觉是，在任何 Linux 机器受到实际攻击之前，该修复程序将在正常更新渠道上可用（但你不必相信我的直觉——就我个人而言，我不相信）。

IcedTea 1.2 绝对是脆弱的。我知道第一手资料。Linux 对远程代码执行恶意软件并不安全。可取之处是通常以非特权用户身份运行桌面，因此任何损坏都是用户帐户而不是系统。

我不确定我是否同意在这种情况下使用“我运行 Linux，所以我很安全”的论点。通常情况下，我会同意恶意用户会想要最大的“物有所值”，因此可能会跳过编写特定的 *nix 漏洞利用来代替 Windows 的相同漏洞利用。然而，既然Java 是跨平台的，那么无论JVM 运行在哪个平台（即Windows、Linux、MacOS 等）上，为利用JVM 编写的恶意代码不是同样有效吗？如果 JVM 被利用并用于在主机操作系统上执行功能，而不是将 JVM 突破到主机中，那么任何操作系统都不会面临风险吗？