<div dir="ltr">> not sure what you are looking for, but I guess this is what you need,
<pre><pre>> (microcode updates are publicly available and gfx init is
> open source)<br><br></pre><pre>I'd like to have system updated against spectre, and other possible vulnerabilities as much as possible.<br></pre><pre>If lenovo (or any other vendor) releases updates, which in this case address spectre vulnerability,<br></pre><pre>then I'd need to get binary blobs from this update, compare them against previous BIOS version blobs<br> and in case they differ, bundle them into coreboot BIOS, then save coreboot onto x220. The extra step I do is intel ME neutralization.<br><br></pre><pre>That's why I (believe I) need the blobs from the newest update. Is the reasoning correct, or I could do it more wise?<br></pre><pre></pre><pre>blobs I've initially taken are:<br>flashregion_0_flashdescriptor.bin<br>flashregion_2_intel_me.bin<br>flashregion_3_gbe.bin<br><br></pre><pre>but:<br></pre><pre>1. If I neutralize me.bin, then maybe updating it does not make sense?<br>    Otherwise, maybe I could use MEanalyzer + its database to get newest ME, then neutralize it?<br></pre><pre>2. as I know spectre fixes reside in CPU microcodes. If so, then maybe coreboot can be compiled with<br>   newest CPU microcode for given CPUID (I've found one on CPUmicrocodes @ github). Or maybe the only<br></pre><pre>   place where fixes are possible to appear is CPU microcode?<br></pre><pre>3. flashdescriptor.bin - can it contain vulnerabilities? If yes, where to get it from?<br></pre><pre>4. gbe.bin - the same questions here.<br></pre><pre><br></pre><br></pre></div>