Mmmmm si y no. Cuando se descubre un zero-day primero se avisa al afectado y hay un plazo que no recuerdo bien de tiempo exacto en el que hasta que no pasa ese tiempo, la vulnerabilidad no se puede hacer publica.
Que la corrigen en ese tiempo? Genial, pero eso no quiere decir que no se conozca.