Java 7 y OpenJDK comparten muchos códigos comunes, por lo que, como regla general, los problemas de seguridad en Java 7 también se aplican a OpenJDK. En ese caso específico, parece que la vulnerabilidad se informó en el paquete Debian OpenJDK, por lo que sí, son vulnerables. Consulte esta pregunta en otro sitio de stackexchange . Dado que Oracle parece haber arreglado su JDK, es probable que la misma solución aparezca en OpenJDK en unas pocas horas o días.
En el lado positivo, si usa OpenJDK y IcedTea, entonces es probable que use Linux. Los autores de malware rara vez se enfocan en los sistemas Linux, porque no hay muchas personas que navegan en la Web desde una máquina con Linux, y hay muchos "sistemas Linux" diferentes que dificultan la escritura de un código binario (como malware) que se ejecutará en la mayoría de ellos (el ecosistema de Linux se basa en la distribución del código fuente y en el empaquetado por distribución, en lugar de la compatibilidad binaria real). Por lo tanto, los autores de malware generalmente consideran que Linux "no vale la pena". Esto explica en gran medida la escasez de malware en Linux.
Mi intuición es que la solución estará disponible en los canales de actualización normales mucho antes de que cualquier máquina Linux sea atacada de forma salvaje (pero no tienes que confiar en mis agallas, personalmente, no lo hago).