Por definición, una dirección IP local del enlace no se debe enrutar fuera del segmento de la red actual, ya que solo tiene valor en el enlace local y está ahí para proporcionar servicios solo en el enlace local. O dicho de otra manera, ningún enrutador adecuadamente diseñado (es decir, un dispositivo L3, como su firewall) reenviará el tráfico desde una dirección de enlace local fuera del enlace local.
Entonces, sí, un dispositivo con una dirección de enlace local que esté infectada con software malicioso de cualquier tipo no debería poder acceder a ningún dispositivo que no se encuentre en el enlace local. Como tal, no podría propagar el software malicioso fuera del enlace local.
Sin embargo, su situación descrita tiene una serie de fallas. Lo primero y más importante es que la dirección 169.254.0.0/16 no debe asignarse manualmente o por el servidor DHCP a ningún dispositivo, según RFC3927 . Esto dificultará cualquier tipo de configuración (si es posible, en primer lugar) y estará sujeta a interrupciones en el proceso si la dirección asociada cambia.