Il mio sistema è completamente "aggiornato" per quanto riguarda gli aggiornamenti di sicurezza di Apple attraverso l'App Store, ma la versione di OpenSSL installata sul mio sistema è 0.9.8zg, una versione che era corrente nell'ultimo anno, ma ha perso tutto il supporto di sicurezza a partire dal 31 dicembre 2015.
Ho letto altrove che, quando si utilizza una VPN, e quel client VPN viene fornito in bundle con una versione successiva diversa di OpenSSL (ad esempio, versione 1.0.1r), la versione del client VPN verrà sostituita, ovvero più la versione aggiornata medierà la negoziazione con una connessione di rete in un browser.
Le mie due domande correlate sono:
(1) è accurato? In tal caso, sembrerebbe che l'esecuzione di una VPN con una versione corrente di OpenSSL possa nominalmente "proteggere" l'utente meglio di una versione deprecata installata sul sistema operativo, corretto?
(2) Se un utente non ha VPN, l'utente si affida alla sola versione vulnerabile di OpenSSL solo nel sistema operativo per quel livello di sicurezza? Oppure le versioni successive di OpenSSL sono in qualche modo "raggruppate" all'interno di applicazioni specifiche - il browser, Skype, iTunes, ecc. - così come sono "raggruppate" con un client VPN?