Czy czcionki TrueType mogą zawierać złośliwy kod?

Szukałem informacji na ten temat i nie mogłem znaleźć niczego tak solidnego. Użyłem narzędzia TTX w bibliotece fonttools, aby dekompilować czcionkę do formatu XML, ale nie mogłem niczego zebrać z pliku.

Czy to możliwe, że czcionka TrueType może zawierać kod wykonywalny, który może być potencjalnie szkodliwy?

Zgodnie z wpisem Wikipedii na Prawdziwy typ , język renderowania jest używany podczas renderowania. Ten język podpowiedzi jest przetwarzany przez maszynę wirtualną, ale umożliwia wykorzystanie złośliwego kodu do wykorzystywania luk w różnych implementacjach tej maszyny wirtualnej.

Zauważ, że złe niewykonane dane mogą spowodować przepełnienie bufora i umożliwić wykonanie kodu tam, gdzie nie powinien, więc fakt, że format danych nie zawiera żadnego typu wykonywalnego lub wirtualnie wykonywalnego kodu, nie oznacza, że ​​nie ma luki, które mogą spowodować zdalne wykonanie kodu.