MacOSX 10.9もshellshockの対象です。
OSX10.9.5にアップデートした後に穴塞がれたのかなと思って試してみたら、
~$ x='() { :;}; echo VULNERABLE' bash -c : ~$ VULNERABLE
ふさがれてねーじゃねーか。
どうやら、Appleのサイトからパッチを自分でDLしないといけないようですね。
なぜ必須パッチでないのか不思議です。
OSX 10.9の場合はこちら
OS X bash Update 1.0 – OS X Mavericks
穴をつかれる条件としては、
1) リモートログインをOnにしている。デフォルトはOffです。
2) WEB共有をOnにしている。つまり、apacheを立ち上げている。デフォルトはOffです。
なので、あまり心配はないですが、パッチを当てておくにこしたことはないです。