OpenJDK et IcedTea sont bien affectés aussi (confirmé hier soir):<div><a href="http://www.us-cert.gov/cas/techalerts/TA13-010A.html">http://www.us-cert.gov/cas/techalerts/TA13-010A.html</a><br>mais pas le JDK et le JRE distribués par IBM.</div>

<div><br></div><div>Si Oracle dit que la version 6 n'est pas affectée, c'est parce qu'une nouvelle méthode du JRE 7 ajoutant un flag booléen permissif n'y était pas présente dans la version précédente, mais il y a d'autres chemins possibles sans cette méthode (les autres JRE/JDK peuvent avoir aussi leur propre code pour implémenter Reflexion et le classloader, cette méthode n'était pas partie de l'API officielle mais fait partie de la "cuisine interne" du JRE : tout dépend des autorisations d'appels des APIs qu'ils laissent passer ou pas avec un certificat non signé ou auto-signé). C'est cette nouvelle méthode qui a été utilisée lors de la première attaque "zero-day" détectée dès les premiers jours de janvier.</div>