JavaScript を解読したところ、こんな感じかな。

1. newwindow という名前をつけて新しいウインドウを開く
   

   mywindow = window.open("res2res://nonexisting.dll/nonexisting","newwindow");



2. そっちでいろいろごにょごにょ。yahoo.com のページを開いたり、フォーカスを変更したり、not found な URL にアクセスしたり。


3. <a href="/xxxx/" target="newwindow"> をクリックすると、アドレスバーに表示されていた URL が(yahoo.comから)変わらない

アドレスバーの文字列が変わらないと脆弱性になるわけです。ところが、手元の Donut RAPT #48 で実験したところ、ウインドウ名が有効ではなかったため、再現しませんでした。