Okay, habe nochmal nachgelesen. Apple bietet Sicherheits-Updates für X Jahre/Monate. Allerdings werden bei älteren Versionen gar nicht alle Lücken geschlossen. Oder zumindest nicht so schnell wie auf den aktuellen Versionen.
So wurde z.B. eine Lücke in BigSur geschlossen, die Apple in Catalina für 7 Monate offen gelassen hat. Man bietet also grundsätzlich Patches und die Kunden wähnen sich sicher - in Wirklichkeit ist die Sicherheit aber weit geringer als angenommen, weil ältere Versionen stiefmütterlich behandelt werden.
New Mac malware raises more questions about Apple's security patching - Malwarebytes Labs
We've heard of a number of cases recently where Apple's patched a vulnerability, but not all of the vulnerable system versions. Here's another example.
blog.malwarebytes.com