Meiner Meinung nach wird das etwas zu sehr dramatisiert.
Ein Angriff setzt voraus, dass man Zugriff auf eine Bash hat, respektive, dass man eine Environmentvariable setzen muss, bevor die Bash gestartet wurde.
Bei einem normalen Arbeitsplatz dürfte die Gefahr äußerst gering sein oder man hatte schon immer ein Problem wegen schwacher Kennwörter etc.

Bei Webservern sieht es anders aus, da diese entweder Ssh anbieten oder potentiell anfällige Software darauf läuft, über die shellbefehle einschleusbar sind (was aber auch schon vorher ein Problem war, nur nicht so dramatisch wegen der eingeschränkten Userrechte).

Jeder vernünftige Sysadmin sollte also gestern die Patches eingespielt haben.