* Volker Grabsch:
Der Heise-Artikel differenziert in keiner Weise zwischen dem offiziellen Java (von Oracle) und unabhängigen Implementierungen wie OpenJDK.
"OpenJDK" ist nicht unabhängig, da Oracle die Markenrechte hält (nicht daß das an sich ein Problem wäre, das Adjektiv ist schlicht unangebracht).
Das heißt, mir als OpenJDK-Nutzer wird erzählt, ich sollte Java deaktivieren, obwohl "nur" Oracle Mist gebaut hat - und nicht das OpenJDK-Team.
Oracle hat den Fehler in OpenJDK eingebaut und dann aus OpenJDK ins proprietäre JDK übernommen.
Habe ich etwas falsch verstanden, oder ist die Sicherheitslücke so fundamental, dass davon auch andere Implementierungen wie OpenJDK betroffen sind?
OpenJDK ist keine andere Implementierung. Im Vergleich zum Oracle-JDK fehlen lediglich einige Komponenten, u.a. das Browser-Plugin.
Die Schwachstelle ist aber troztdem verhanden. Theoretisch kann man z.B. auch JEE-Anwendungen mit einen Security-Manager laufen lassen, der sich mit dieser Schwachstelle aushebeln läßt.