både javascript & java applets är normalt vad som kallas "sandboxed", alltså att de får ett litet eget utrymme att leka i.
Dock har det vid flertalet tillfällen funnits buggar i JVMen till java så att java applets har kunnat ta sig ut, och om de har rymt så kan det rent teoretiskt göra allt som användaren normalt kan göra, det är bara en fråga om att programmera en applet som gör det.
Det samma gäller egentligen javascript, buggar i webläsarnas javascript parser eller i sandbox miljön har lett till säkerhetsluckor.
Dock i "normala" fall är den största risken phising försök eller cross-site-scripting attacker för att lura användarna att göra/köra saker som de normalt inte skulle göra.. då det tyvärr inte finns någon patch för att bota idioti
