Vemos dos tipos de aplicaciones basadas en web de Java:
Aplicaciones simples, solicitando que se le permita (Sí / No) usar el micrófono, etc.
Aplicaciones pesadas y completas, que solicitan Permitir / Bloquear (como descargas de YouTube en línea, etc.)
¿Ambos son una seria amenaza para la seguridad de los usuarios?
Explotación de Java: creo que la forma más popular de explotar sistemas con casi ningún esfuerzo es con applets de Java maliciosos. Se utiliza junto con la ingeniería social: casi todas las personas hacen clic de forma instintiva en el cuadro de diálogo "Ejecutar applet". Incluso si no observa los ataques que implican SE, siempre hay vulnerabilidades para el complemento del navegador de Java (IIRC, Oracle estaba eliminando el complemento. No recuerdo el estado actual. Puede que valga la pena verlo).
tl; dr : Sí. Todos estos son posibles vectores de ataque, ya sea en combinación con SE o mediante la explotación de sistemas no parchados o mediante explotaciones privadas.
Solo copié esto de tu otra Q.
Lea otras preguntas en las etiquetas java