Man kann testen, ob eine Seite betroffen ist, zum Beispiel hier.
Das Problem ist aber, dass der Fehler ja nicht erst seit heute existiert. D.h. man kann ggf. nicht nachvollziehen, wann gepatched wurde. Damit ist das Risiko auch kaum einzuschätzen. Daher im Zweifel den Worst Case annehmen und bei essentiellen Seiten Passwörter PIN usw. ändern.
Der Worst Case ist sogar noch schlimmer (letzter Absatz), wenn ich das richtig verstanden habe: Wenn jemand den verschlüsselten Datenverkehr aufgezeichnet hat (NSA und GHCQ machen das zumindest teilweise), ist es möglich, dass, wenn es gelungen ist bis zum Patch an den Schlüssel zu gelangen, auch die Daten, die vor dem entstehen des Bugs übertragen wurden, nachträglich zu entschlüsseln, sofern der Schlüssel nicht regelmäßig geändert wurde.