修正版が行き渡ってから公表される、なんてやり方がとられる事

悪意を持った人間に悪用されかねない脆弱性があって、それを公表すると更新を適用していないユーザに対して被害が発生しうる内容であれば、それは「明記できない脆弱性 (unspecified vulnerability)」として情報公開するのが一般的です。
そうでないとユーザ側での更新適用を促すことができませんので、「公表したいけどできない、でも公表しないとユーザが危機意識を持ってくれない」という矛盾に立ち戻ることになってしまいます。

Mozillaの場合は以前にそういう「明記できない脆弱性」があったわけではないのでわかりませんが、もしも本当にそういう危険な脆弱性があればおそらく上記のように「脆弱性があるけど言えない」旨を表明するんではないでしょうか。