脆弱性がない状態で

脆弱性があるかないかは事前にはわかりません。 新しい発見はいつでもあるからです。

システムの脆弱性の評価は現時点でわかっている攻撃方法が通用するかどうか測られます。 保守されている OS やブラウザはわかっている攻撃方法は通用しないように対処し続けているので最新のシステムを使っているなら基本的には攻撃は通用しません。

攻撃が通用するとしたらこれから発見される未知の攻撃方法なのでそれがどのような理屈で成立するのか今の時点で説明できません。

ブラウザやOSは常に最新の状態にアップデートされているとし、デバイスの脆弱性がない状態で、リンクを踏んだだけで感染するということはあり得ますか？

質問文に記された「デバイス」が、一般的な「ハードウェア」をさすのであれば、デバイスに脆弱性がなくても、その中に含まれるOSやブラウザ等のソフトウェアに脆弱性があれば感染することはあります。

一方、質問文に記された「デバイス」が、一般的な「ハードウェア」だけでなくOSやブラウザ等のソフトウェアも含んだ意味ならば、
メール本文のリンクをクリックしてブラウザが起動し開かれたウェブサイト経由でマルウェアに感染させる手口はOSやブラウザ等の「脆弱性」を突いたものとされますので
その質問文内における「脆弱性がない」という語の定義上、「感染はしない」ということになるでしょう（この言い回し自体は、定義の循環であり「言葉遊び」になってしまいますので、実質的な意味はありませんが）

ただし、ハードウェア・ソフトウェアともに人間が作っているものであり、毎秒アップデートされているわけでもありませんので、「"常に脆弱性がない"ということはありえない」とだけ、申し添えておきます。

ファイルの実行(ダブルクリック)は攻撃ベクターからはできないように思います。

脆弱性が存在すれば可能です。

また、ユーザーのデバイスやソフトウェアに一切脆弱性がなくても、正当に見せかけたウェブページから、正当に見えるソフトウェアをダウンロードさせて、インストールしようするユーザーに実行させる、という手口も成立します。（ユーザーは自分が正当なソフトをダウンロードしインストールしようとしていると勘違いしているので、そもそもダブルクリックを防げない）

また、そのようなリンクの管理者はどのような手順で攻撃を行うのでしょうか。

たとえば、比較的古い手口ですが、Chromeブラウザにおいて、ブラウザにユーザーの情報を格納する「Indexed DB」という機能の脆弱性を突いて任意のコードを走らせることが可能な状態であったことがありました。
一般的に「Use After Free」といわれる、解放済みのヒープ領域を破壊して任意のコードを走らせるものです。
参照：https://atmarkit.itmedia.co.jp/ait/articles/1409/22/news010.html

これが実際に悪用されたかどうかは不明ですが、一般ユーザーからGoogleにバグとして報告され、Chrome102にて修正されました。

現代のブラウザは、単体のアプリケーションに匹敵する表現力を持った非常に高機能なものです。これを実現するためにJacvascriptその他多様な技術が用いられていますが、その高機能かつ複雑な構造ゆえ、常に脆弱性の問題がつきまとううといえるでしょう。攻撃手法も、高機能かつ複雑な構造に対応して多種多様になっていますので、いちがいに「どのような手順で」とは言えません。