Это идиотизм, а не уязвимость. SFX и так может запустить что угодно через "Setup". Или скачать что угодно, через downloader в Setup, а потом запустить. Или можно заменить весь SFX модуль на вредоносный код. Не вижу тут ни единого дополнительного фактора риска.
Хотя шум в СМИ подняли знатный. Вплоть до "WinRAR security flaw opens users to remote attack just by unzipping files", непонятно откуда взявшихся.
Victor_VG
Первоисточник был тут:
http://www.vulnerability-lab.com/get...nt.php?id=1608
но после того, как я написал автору и попросил его включить в статью ссылку на наш комментарий, он молча заменил этот первоисточник на какие-то посторонние данные.