OpenJDK en Oracle Java zijn bijna dezelfde code. De VM (Hotspot), de compiler (javac) en de class library zijn zo goed als hetzelfde. Het enige verschil ligt in een paar propretaire libraries die standaard met Oracle Java meekomen, maar niet met OpenJDK (of er worden alternatieven gebruikt, zoals FreeType voor font rendering).
Als er een exploit zit in Oracle Java, zit die zo goed als zeker ook in OpenJDK.
Het beste wat ik kan aanraden is: laat geen Java toe in de webbrowser, of enkel met een whitelist.