Arch Linux ist von Haus aus nicht signiert. Falls Secure Boot aktiviert sein sollte, dürfte Arch Linux gar nicht starten. Ich persönlich deaktiviere Secure Boot überall dort, wo ich schlussendlich fürs Key-Management und Signieren zuständig bin. Auf Geräten, wo ich vom Distributor signierte binaries bekomme, lasse ich Secure Boot aktiv (respektive signiere nur noch einzelne Kernelmodule selbst).
Ich gehe davon aus, dass bei dir Secure Boot deaktiviert ist (oder du bootest noch im alten BIOS Modus, dann spielt Secure Boot sowieso keine Rolle).
Das Firmware-Upgrade sollte also möglich sein, solange in den Release Notes nichts steht, dass darauf hindeuten würde, dass man mit dem Upgrade den Secure Boot anschliessend nicht mehr deaktivieren könnte.