ICQ hat die von Sicherheitsexperte Levent Kayan entdeckte XSS-Sicherheitslücke über ein Update geschlossen. Durch einen Persistent Cross-Site Scripting-Angriff konnte man sowohl im Windows-Client als auch bei der Web-Variante des Instant-Messengers das Cookie eines anderen Benutzers stehlen und dessen Sitzung übernehmen, da laut Kayan Ein- und Ausgaben in Profileinträgen nicht ausreichend überprüft wurden. Nachdem Kayan ICQ darauf aufmerksam gemacht hatte, war erst keine Stellungnahme verfügbar. Später wurde mitgeteilt, dass das der Fehler identifiziert sei und bereits an der Problemlösung gearbeitet werde.