Mi propio sistema es totalmente "actualizado" en cuanto a las actualizaciones de seguridad de Apple a través de la App Store, pero la versión de OpenSSL instalada en mi sistema es 0.9.8zg, una versión actualizada el año pasado. pero perdió todo el soporte de seguridad a partir del 31 de diciembre de 2015.
Leí en otra parte que, cuando uno usa una VPN, y que el cliente VPN viene con una versión diferente de OpenSSL (por ejemplo, la versión 1.0.1r), esa versión del cliente VPN reemplazará, es decir, cuanto más La versión actualizada mediará la negociación con una conexión de red en un navegador.
Mis dos preguntas relacionadas son:
(1) ¿es esto correcto? Si es así, parece que ejecutar una VPN con una versión actual de OpenSSL nominalmente "protegería" al usuario mejor que una versión obsoleta instalada en el sistema operativo, ¿correcto?
(2) Si un usuario no tiene VPN, ¿el usuario confía en la versión vulnerable de OpenSSL en el sistema operativo solo para esa capa de seguridad? ¿O son las versiones posteriores de OpenSSL de alguna manera 'empaquetadas' dentro de aplicaciones específicas: el navegador, Skype, iTunes, etc., tal como está 'empaquetada' con un cliente VPN?