Sí : las aplicaciones de escritorio y servidor Java son básicamente seguras.
Cuando ejecutas una aplicación de escritorio (Skype, Picassa, lo que sea), le das a ese software acceso completo a tu computadora. Tienes que confiar en el software.
Por el contrario, cuando ejecuta un applet de Java en su navegador web, el applet se ejecuta en un entorno restringido llamado sandbox. La zona de pruebas existe para que no tenga que confiar en el applet de Java.
Java ha tenido muchas vulnerabilidades; Casi todos ellos son "escapes de caja de arena". En otras palabras, si está ejecutando una versión anterior de Java, un applet malintencionado puede salir de la zona de pruebas y tomar el control de su computadora.
No hay muchas tecnologías que admitan entornos limitados. De hecho, solo hay tres tecnologías comunes en las que las personas ejecutan habitualmente software que no es de confianza: Java, JavaScript y Flash. Todos estos han tenido muchas vulnerabilidades de escape en la caja de arena, lo que demuestra la dificultad de escribir una caja de arena segura.
Cuando ejecuta Java en su escritorio o en un servidor, confía en el código Java que está ejecutando, por lo que no confía en el entorno limitado. En ese contexto, la principal preocupación es si los datos que no son de confianza pueden interferir con la aplicación. Por ejemplo, si está hablando con alguien en Skype, podría enviar un mensaje malintencionado de que Skype maneja mal y les permite tomar el control de su computadora. (Solo uso Skype como ejemplo aquí).
Ha habido muy pocas instancias en las que los errores en el tiempo de ejecución de Java permitieran que una aplicación de escritorio o servidor fuera hackeada. Normalmente, esto ocurre debido a errores en el código de la aplicación, no en el propio Java.