Eu acho que você precisa dar um passo atrás. Eu não acho que você entenda como o gerenciamento de pacotes funciona no Ubuntu. Terei uma facada em explicar isso em alto nível - como não escrever um livro inteiro sobre o assunto -, mas ainda cobrir suas perguntas.
-
Cada versão do Ubuntu tem seu próprio conjunto de repositórios de pacotes online.
-
Um repositório de pacotes é (essencialmente) apenas um diretório com uma pilha de arquivos de pacotes e um arquivo de lançamento que permite ver quais versões de pacotes ele contém
-
O estado "congelado" das versões do pacote não significa que eles nunca sejam atualizados. Mantenedores tentam deixar pacotes na mesma versão principal do release, mas os patches de segurança são retornados. E há exceções para isso, sendo o Firefox o mais óbvio, mas não vou ficar muito atolado na política aqui.
-
Quando um problema de segurança surge e algo pode ser corrigido, o mantenedor aplica esse patch à versão do software que está sendo usada naquela versão do Ubuntu - para cada versão suportada do Ubuntu - e cria pacotes para eles, carrega-os para o repo e o arquivo de lançamento é atualizado.
-
Os sistemas Ubuntu podem então (via Apt, o gerenciador de pacotes) fazer o download desses arquivos de versão atualizados, ver quais pacotes podem ser atualizados e depois baixar e instalar as atualizações.
-
O instalador também oferecerá o download dessas atualizações enquanto estiver instalando. A primeira execução correta do Ubuntu pode estar usando software totalmente atualizado.
Isso deve lhe dar uma idéia do processo. Há uma tonelada de coisas acontecendo nos bastidores, mas como eu disse, eu queria evitar escrever um livro sobre isso aqui.
O "histórico de patches" e a diferença entre ISO e atual não são realmente algo exposto ao usuário. O Ubuntu apenas tentará obter as últimas novidades no repositório e os mantenedores do pacote cuidarão do resto. Dito isto, você pode ver os changelogs de pacotes para alguns pacotes com (por exemplo) apt changelog gnome-shell
.