See:
Sembrerebbe, secondo queste due fonti, che i file rar possano contenere codice personalizzato grazie alla macchina virtuale WinRAR, che in circostanze normali può accedere solo ai dati non compressi. Tuttavia, ciò che è intrigante è che quanto segue è menzionato nei documenti RarVM Toolchain:
Known Bugs
There are several known bugs in the RarVM.
[redacted as some have security consequences]
Dovremmo iniziare a considerare i file RAR non sicuri?
Si noti che in questo caso, ciò che è ritenuto insicuro è l'implementazione RarVM trovata in WinRAR, e probabilmente non nel progetto principale della VM (se è così, più interessante).
Quindi si può presumere che WinRar stesso sia insicuro (qualcosa di non improbabile) o che tutti i file RAR non siano sicuri (più improbabile di prima).
Quello che fai con queste informazioni, probabilmente non è nulla. Puoi decidere di accettare solo i file ZIP, ma avrai problemi a implementarlo.