A sua pergunta IMO é bastante ampla e a segurança é um tópico complexo.
-
Os avisos de segurança do Ubuntu estão aqui - link
-
Para responder sua pergunta, nenhum Ubuntu não "empurra" nada em você, você tem que atualizar seu sistema. As atualizações incluem correções de bugs e correções de segurança.
-
Você pode automatizar as atualizações de segurança apenas se desejar - Como posso instalar apenas atualizações de segurança a partir da linha de comando?
-
O Ubuntu usa o apparmor para ajudar a proteger contra explorações de dia zero. Consulte o link e o link embora eu não tenha certeza se o apparmor funcionaria nessa situação, eu suspeito que não.
-
Existem outros modelos de segurança, embora eu não acredite que nenhum tenha sido eficaz contra as vacas sujas.