Me gustaría completar la respuesta aceptada de Cristian Dobre, que es correcta pero incompleta.
La ejecución de javascript (ya sea a través de una barra de direcciones o por medios más clásicos no importa aquí) puede, en algunos casos, conducir a la ejecución remota de código al explotar los desbordamientos de búfer (o fallas similares) en los navegadores.
Esta es una de las razones por las que parchear los navegadores regularmente es bastante importante.
Tales ocurrencias rara vez se descubren en la naturaleza, pero existen, y se descubren nuevas cada año (Chrome tuvo menos de Firefox que tiene MUCHO MENOS que IE, en el pasado).
Un buen ejemplo aquí en SO:
enlace
Entonces, para responder a su pregunta: sí, puede dañar la máquina de un cliente. Si la máquina está completamente parchada, solo un día cero (extremadamente poco probable pero aún técnicamente posible) podría causar tal daño.
Los "días cero" con tal poder se utilizan principalmente, "afortunadamente", para ataques dirigidos para evitar la atención y maximizar las posibilidades de no detección (y, por lo tanto, reutilización futura).