Возможны ли инъекции в шрифтах?

Конечно
Но именно файл не может быть причиной вреда. А вот то, с помощью черт он поступает - да
Поэтому лучше пользоваться одноразовыми каналами

Font Injection! Конечно может. Скачаешь шрифт, а там Хй написано!

Нэт

Да, можно. Например, gzip-бомбу в шрифт засунуть, Хром (и другие браузеры на блинке) будет при этом выжирать память, пока не упадёт вкладка. Не то чтобы это было особо вредоносным, но неприятно, когда вся память резко выжирается (некоторые сторонние приложения на компе при этом могут тоже упасть, если в момент почти исчерпаной памяти попробуют выделить блок).
Два года назад точно работало, сейчас - не проверял, может быть и пофиксили.
Ну а если на сервере шрифт обрабатываете, то имейте ввиду, что форматы woff и woff2 содержат сжатие и поэтому потенциально подвержены той же проблеме, если при распаковке секций в памяти не ограничиваете максимальный размер распакованных данных.