Java 7 e OpenJDK condividono un sacco di codice comune, quindi, come regola generale, i problemi di sicurezza in Java 7 si applicano anche a OpenJDK. In quel caso specifico, sembra che la vulnerabilità fosse riportata nel pacchetto Debian OpenJDK, quindi sì, sono vulnerabili. Vedi questa domanda su un altro sito di stackexchange . Poiché Oracle sembra aver corretto il proprio JDK, è probabile che la stessa correzione venga visualizzata in OpenJDK in poche ore o giorni.
Sul lato positivo, se usi OpenJDK e IcedTea, è probabile che tu usi Linux. Gli autori di malware raramente si rivolgono a sistemi Linux, perché non ci sono molte persone che navigano sul Web da una macchina Linux, e ci sono molti "sistemi Linux" diversi che rendono difficile scrivere una parte di codice binario (come malware) che funzionerà sulla maggior parte di essi (l'ecosistema Linux si basa sulla distribuzione del codice sorgente e sulla confezione per distribuzione, piuttosto che sulla reale compatibilità binaria). Pertanto, gli autori di malware ritengono che Linux "non valga la pena". Questo è molto utile per spiegare la scarsità di malware su Linux.
Il mio istinto è che la correzione sarà disponibile sui normali canali di aggiornamento molto prima che qualsiasi macchina Linux venga effettivamente attaccata in natura (ma non devi fidarti del mio coraggio - personalmente, non lo faccio).