そういう事態を避けるために、セキュリティに関わるアップデートは独立して提供するべきだが、Sun Microsystemsはそれをやっていない。

これについては私も以前から気になっていました。しかしそれを

開発者のお遊びを続けているままのようなソフトウェア

とバッサリやってしまう点がさすが高木先生というか（笑）
このことについてはCafe Babeでも詳しく言及されています。とりあえずJSR 277は要チェック、と。
官庁はJavaの脆弱性にどう対処すればいいのか（高木浩光＠自宅の日記） - Cafe Babe