Por que a Apple está usando uma versão vulnerável do OpenSSL?
Não é.
Se você clicar no link publicado em sua pergunta, verá que esta atualização corrige várias vulnerabilidades que existem de forma idêntica no OpenSSL 0.9.8, 1.0.0, 1.0.1 e 1.0.2.
Portanto, em outras palavras, a versão que você sugere mais tarde como alternativa, a 1.0.2, era tão vulnerável quanto a 0.9.8 e ambas foram corrigidas ao mesmo tempo.
Com a mais recente atualização do OS X ( 10.10.5 ), a Apple está apresentando o OpenSSL 0.9.8 . Eu naveguei pela página oficial do OpenSSL e consegui a versão 1.0.2 .
A Apple está atualizando o OpenSSL para 0.9.8zg, com apenas 2 meses de idade e apenas 4 semanas com a versão 1.0.2d.
Minha pergunta é: Por que a Apple está usando uma versão mais antiga do OpenSSL? É por causa de funções descontinuadas na versão 1.0 ou qual é o motivo por trás disso?
Isso é algo que você terá que perguntar à Apple. Meu melhor palpite é que 0.9.8 é a versão com a qual eles fizeram seus testes de compatibilidade, e a atualização para uma versão mais nova exigiria uma rodada de testes completamente nova para um componente que foi descontinuado de qualquer maneira. Como está obsoleto, o software mais recente (que possivelmente dependeria de recursos mais recentes) não deve usá-lo de qualquer maneira, e o software mais antigo que ainda o usa não usa os novos recursos (porque eles não existiam) e pode até estar quebrado por uma atualização, então por que se preocupar?
Enquanto a comunidade OpenSSL ainda mantiver a ramificação 0.9.8, a Apple nem precisará fazer o trabalho de backport de patches.
Observe que isso não é nada incomum. A Apple enviou uma versão antiga do Ruby por um longo período de tempo, e elas geralmente não são atualizadas durante um ciclo de lançamento, apenas entre os lançamentos. Distribuições Linux, bem como BSDs e outras distribuições Unix, também não atualizam versões durante o lançamento, elas aplicam apenas correções de bugs e correções de segurança. O Debian, em particular, geralmente nem corrige todos os bugs, apenas vulnerabilidades e bugs de segurança que podem resultar na perda de dados do usuário - qualquer alteração, até mesmo uma correção de bugs é uma incompatibilidade em potencial e um potencial para novos bugs; bugs conhecidos são melhores que os desconhecidos!