Ja, die Sicherheitslücken sollten auch in IcedTea und OpenJDK vorhanden sein.
Der Unterschied der VM's und Oracle's sind in den Lizenzen z.B. sind in OpenJDK alle lizensierten Font (ich glaube z.B. Times New Roman) nicht vorhanden, dafür aber andere (Kopien
).
Soweit ich weiss ist an der Java-Security keine Änderungen zu den anderen VM's, somit sind sie quasi Kopien davon...
Wenn du genug Zeit hast kannst du dir die Änderung im Oracle-JDK selbst ansehen und mit OpenJDK vergleichen, sind die Änderungen übernommen = Sicherheitslücke weg, wenn nicht, ist sie noch da...
Wie gesagt ist im Moment nur einen Laienmeinung, dennoch wäre die Lösung in den VMs selbst reinzusehen...