Het Common Vulnerabilities and Exposures (CVE) nummer, ook bekend als het "CVE-ID", is vanwege het toenemend aantal softwarelekken aangepast, zodat er meer lekken kunnen worden ondersteund. CVE is de wereldwijde standaard voor het toekennen van identificatienummers aan kwetsbaarheden.

De CVE-syntax bestond altijd uit het jaartal gevolgd door vier cijfers, bijvoorbeeld CVE-2014-0515 waarmee een lek in Adobe Flash Player wordt aangegeven. Dit jaar werd echter besloten om de syntax aan te passen, zodat het CVE-ID voor meer dan 10.000 kwetsbaarheden in een jaar kan worden gebruikt. Inmiddels zouden verschillende grote leveranciers en cybersecurity-organisaties de nieuwe syntax toepassen, zo meldt MITRE, de organisatie die alle CVE-nummers bijhoudt. Het gaat onder andere om Adobe, Microsoft, Oracle en Symantec.

MITRE waarschuwt dat de grens van 10.000 lekken mogelijk dit jaar al wordt gepasseerd. "We kennen CVE-ID's in een ongekend tempo toe", zegt Steve Christey Coley, ingenieur bij MITRE en beheerder van de CVE-lijst. "Het is nog te vroeg om te zeggen, maar we zouden de limiet van vier cijfers voor het einde van het jaar kunnen passeren. Als we meer dan 9.999 CVE-ID's in 2014 nodig hebben zullen we de nieuwe syntax volgen en vijfcijferige CVE-ID's gebruiken."

Coley merkt op dat organisaties die het nieuwe formaat in hun producten en diensten niet ondersteunen straks tegen problemen kunnen aanlopen, zoals het melden van verkeerde CVE-ID's, wat het lastiger maakt om kwetsbaarheden bij te houden. Op de CVE-website is er nu gratis technische uitleg verschenen waarmee zowel ontwikkelaars als consumenten kunnen controleren of hun producten en diensten wel correct met de nieuwe syntax werken.