Ver:
Según estas dos fuentes, parecería que los archivos rar pueden contener código personalizado gracias a la máquina virtual WinRAR, que en circunstancias normales solo puede acceder a los datos que se están descomprimiendo. Sin embargo, lo que es intrigante es que se menciona lo siguiente en la documentación de RarVM Toolchain:
Errores conocidos
Hay varios errores conocidos en el RarVM.
[redacted as some have security consequences]
¿Debemos empezar a considerar inseguros los archivos RAR?