Вы явно допускаете, что апплет увеличил права (это также требует, чтобы апплет был криптографически подписан, который в теории позволяет Вам узнавать, кто записал это, и предъявите иск им, когда это оказывается разрушительным),
Ваш плагин браузера JVM или Java имеет дыру в системе безопасности, которую использует апплет - к сожалению, в последние годы был постоянный поток таких находимых дыр в системе безопасности.
Нет. Java имеет созданный в механизме защиты, будет препятствовать тому, чтобы апплеты выполнили определенные вызовы метода. См. документацию для Runtime#exec (), например.